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内 容 提 要 


本 书 是 集 理论 、 协 议 细 节 、 漏 洞 分 析 、 部 署 建议 于 一 体 的 详尽 Web 应 用 安全 指南 。 书 中 具体 内 容 包 
括 : 密码 学 基础 ，TLS 协议 ，PKI 体系 及 其 安全 性 ，HTTP 和 浏览 器 问题 ， 协 议 漏洞 ; 最 新 的 攻击 形式 ， 
如 BEAST、CRIME、BREACH、Lucky 13 等 ; 详尽 的 部 署 建议 ; 如 何 使 用 OpenSSL 生成 密 钥 和 确认 信息 ; 






































如 何 使 用 Apache httpd、IIS、Neginx 等 进行 安全 配置 。 
本 书 适合 Web 开发 人 员 、 系 统管 理 员 和 所 有 对 Web 应 用 安全 感 兴趣 的 读者 。 
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各 位 读者 即将 踏 上 密码 学 的 神秘 旅程 。 我 已 经 结束 了 我 的 旅程 ， 完 成 了 本 书 ; 这 是 一 段 令 人 
惊叹 的 经 历 。 尽 管 我 从 SSL 诞 生 之 初 就 开始 使 用 它 ， 但 直到 2004 年 开始 撰写 第 一 本 书 4pachne 
Security 时 ， 才 对 它 产 生 了 浓厚 的 兴趣 。 在 五 年 之 后 的 2009 年 ， 我 决定 寻找 一 些 新 的 事情 去 做 ， 
于 是 决定 在 SSL 上 投入 更 多 时 间 。 自 此 我 便 专注 于 此 ， 随 后 写成 了 本 书 。 

我 重新 关注 SSL 的 主要 原因 是 我 认为 可 以 改善 它 : 这 一 项 重要 的 技术 由 于 工具 和 文档 的 缺乏 
而 受到 阻碍 。 密 码 学 这 门 学 科 非 常 吸引 人 ， 对 这 个 领域 了 解 得 越 多 ,实际 上 就 越 不 了 解 它 。 换 言 
之 ,了 解 得 越 多 ， 就 会 发 现 有 更 多 仍 不 了 解 的 部 分 。 当 我 对 某 个 复杂 命题 的 理解 达到 新 的 境界 以 
后 ， 另 一 层 复杂 性 就 随 之 展现 在 我 面前 。 这 种 情况 我 已 经 数 不 清 遇 到 过 多 少 次 ， 而 这 也 正 是 密码 
学 的 迷人 之 处 。 

我 花 了 近 两 年 时 间 押 写本 书 。 起 初 我 认为 只 要 花 一 部 分 精力 就 可 以 了 ， 并 没有 全 身心 投入 ， 
但 是 不 行 。 有 一 天 我 突然 意识 到 ， 这 个 领域 的 变化 实在 太 快 ， 原 本 “已 经 完成 ”的 章节 到 后 来 不 
得 不 返工 甚至 重 写 。 到 了 最 后 ， 大 约 六 个 月 以 前 , 为 了 跟 上 变化 , 我 开始 抓紧 每 一 刻 闲 暇 撰写 本 
书 。 

我 写作 的 初衷 是 为 了 节省 各 位 读者 的 时 间 。 最 近 五 年 , 我 尽 我 所 能 学 习 了 关于 SSL/TLS 和 PKI 
的 所 有 知识 ,我 想 只 有 少数 人 能 像 我 这 样 付出 。 如 果 我 将 学 到 的 最 重要 的 部 分 写 进 书 中 ,也 许 其 
他 人 的 学 习 能 够 事半功倍 一 一 这 一 想法 促成 了 本 书 的 问世 。 

本 书 的 英文 标题 中 包含 bulletproof ( 刀枪 不 人 ) 这 个 单词 , 但 这 并 不 意味 着 TLS 是 坚不可摧 

的 。 它 真正 的 含义 是 ， 如 果 读 者 遵循 本 书 的 指引 ， 就 可 以 最 大 化 地 利用 TLS， 并 且 可 以 将 TLS 部 
署 得 非常 安全 , 让 自己 毫 不 逊色 于 世界 上 的 其 他 任何 人 。 这 通常 并 不 容易 , 尤其 是 针对 Web 应 用 ， 
但 如 果 读 者 坚持 本 书 所 倡导 的 原则 ， 就 可 以 拥有 比 其 他 99.99% 的 服务 器 更 好 的 安全 性 。 事 实 上 ， 
即使 只 付出 一 点 点 努力 ， 拥 有 的 安全 性 也 会 比 互联 网 上 99% 的 服务 器 更 好 。 
一 般 来 说 ， 读 者 可 以 通过 两 种 方式 阅读 本 书 。(1) 按部就班 地 从 第 1 章 开 始 。 如 果 时 间 充 足 ， 
通过 这 种 方式 能 更 好 地 理解 本 书 的 内 容 。(2) 如 果 需 要 快速 解决 问题 ,那么 请 直接 阅读 第 8 章 和 第 
9 章 。 这 两 章 阐述 了 如 何在 获得 良好 性 能 的 同时 部 署 安全 服务 器 , 包含 读者 需要 了 解 的 所 有 细节 。 
如 果 之 后 有 需要 , 可 以 将 第 1 章 至 第 7 章 的 内 容 作 为 参考 , 将 第 10 章 至 第 16 章 的 内 容 作为 实际 操作 
的 指导 。 
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范围 和 读者 


本 书 的 存在 是 为 了 记录 在 实际 的 日 常 工作 中 需要 了 解 的 关于 SSL/TLS 和 PKI 的 一 切 。 我 着 眼 
于 正确 地 结合 理论 、 协 议 细 节 、 漏 洞 和 弱点 信息 以 及 部 署 建 议 ， 以 帮助 读者 完成 工作 。 

在 撰写 本 书 时 ， 我 想象 有 以 下 三 个 群体 的 代表 密切 注视 着 我 ,希望 我 回答 他 们 提出 的 问题 。 

口 系统 管理 员 

系统 管理 员 一 贯 时 间 有 限 而 被 迫 处 理 系统 上 日 益 增 加 的 安全 问题 , 因此 他 们 需要 有 关 TLS 
的 可 靠 指 导 ， 从 而 可 以 快速 有 效 地 配置 他 们 的 服务 器 。 盲 目 相 信 从 网 络 上 找到 的 信息 往 
往 适 得 其 反 ， 因 为 有 非常 多 不 正确 和 过 时 的 信息 。 
口 开发 人 员 
虽然 SSL 从 诞生 之 初 就 承诺 为 基于 TCP 的 协议 提供 透明 的 安全 保障 , 但 现实 情况 却 是 开发 
人 员 在 确保 应 用 安全 的 任务 中 扮演 着 十 分 重要 的 角色 。 对 Web 应 用 而 言 尤其 如 此 ， 因 为 
Web 应 用 一 边 围绕 着 SSL 和 TLS 构 建安 全 ,一边 整 合 着 各 种 会 破坏 安全 性 的 特性 。 理 论 上 
“仅仅 启用 加 密 ” 即 可 ， 而 实践 中 不 仅 需要 启用 加 密 ， 同 时 也 需要 关注 许多 破坏 安全 性 的 
问题 ， 不 论 它 们 是 大 是 小 。 在 本 书 中 ,我 尽力 不 遗漏 这 类 读者 可 能 会 遇 到 的 每 一 个 问题 。 

口 管理 人 员 

最 后 是 管理 人 员 ， 虽然 他 们 不 必 关 心 实施 细节 ,但 仍然 需要 理解 发 生 了 什么 并 做 出 决策 。 
安全 领域 变 得 越 来 越 复杂 ， 理 解 攻 击 和 威胁 往往 就 是 其 工作 的 一 部 分 。 解 决 问题 的 方法 
经 常 不 止 一 种 ， 最 好 的 方法 往往 是 依 情况 而 定 。 

总 之 ， 本 书 内 容 全 面 履 盖 了 HTTP 和 Web 应 用 ,但 几乎 没有 提 及 其 他 协议 。 这 主要 是 因为 浏 
览 器 。 浏 览 需 已 经 成 为 最 流行 的 应 用 分 发 平台 ， 而 HITP 在 浏览 需 上 运用 加 密 的 方法 非常 特殊 ， 
带 来 了 很 多 问题 。 因 此 本 书 才 花 了 非常 多 的 篇 幅 讲 HTTP。 

事实 上 ， 除 了 有 关 HTTP 的 章节 ， 全 书 仍 有 三 分 之 二 的 内 容 提 供 了 可 以 应 用 到 任何 使 用 TLS 
协议 的 一 般 性 指导 。 关 于 OpenSSL 、Java 和 Microsoft 的 几 章 分 别 为 相应 的 平台 提供 了 协议 的 一 般 
言 息 。 

也 就 是 说 ， 如 果 各 位 读者 正在 寻找 Web 服 务 需 以 外 的 其 他 产品 的 配置 示例 ,那么 将 无 法 在 本 
书 中 找到 。 因 为 Web 服 务 器 主要 由 几 大 平台 占据 ， 其 他 类 型 的 应 用 则 有 大 量 的 产品 。 只 提供 Web 
服务 器 相关 的 最 新 指导 已 经 是 相当 大 的 挑战 了 ， 毕 竟 Web 服 务 器 一 直 在 不 断 发 展 。 我 无 法 在 更 大 
的 范围 跟 进 ， 因 此 有 意 将 其 他 配置 示例 发 布 在 网 上 ， 并 和 希望 能 够 在 社区 中 起 到 抛砖引玉 的 作用 ， 
从 而 保持 这 些 指 导 及 时 更 新 。 


本 书 内 容 
本 书 主要 内 容 共 16 章 "， 分 为 若干 部 分 。 这 些 部 分 彼此 依托 ， 构 成 一 幅 完整 的 蓝图 ， 始 于 理 

































































































































































中 第 17 章 为 全 书 总 结 。 编者 注 
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论 介绍 ， 最 后 给 出 实践 建议 。 

第 一 部 分 包括 第 1~3 章 ， 是 全 书 的 基础 ， 讨 论 了 密码 学 、SSL、TLS 和 PKI。 

口 第 1 章 SSL、TLS 和 密码 学 
这 一 章 首先 介绍 了 SSL 和 TLS， 讨论 这 些 安全 协议 从 哪里 融入 互联 网 基础 设施 ;其 余部 分 
介绍 密码 学 ， 并 讨论 了 主动 网 络 攻击 者 的 经 典 威胁 模型 。 

口 第 2 章 ”协议 
这 一 章 讨论 TLS 协 议 的 各 种 细节 ， 内 容 覆 盖 了 最 新 的 TLS 1.2， 并 酌情 提供 了 早期 版 本 的 
信息 。 这 一 章 最 后 包括 了 从 SSL 3 起 协议 演变 的 概述 以 供 参 考 。 

口 第 3 章 ” 公 负 基础 设施 
这 一 章 介 绍 互联 网 PKI。PKI 是 当今 互联 网 上 使 用 的 主要 信任 模型 。 这 一 章 着 重 介绍 其 标 
准 、 组 织 、 管 理 、 生 态 系统 的 弱点 以 及 未 来 可 能 的 改进 。 

第 二 部 分 包括 第 4~7 章 ， 详 细 列 举 各 种 问题 。 这 些 问 题 与 信任 基础 设施 、 安 全 协议 以 及 实现 

它们 的 库 和 程序 有 关 。 

口 第 4 章 攻击 PKI 
这 一 章 内 容 涉及 对 信任 体系 的 攻击 ,涵盖 了 所 有 主要 的 CA 事故 ,详细 列举 了 种 种 弱点 、 攻 
击 和 效果 ,这 一 章 以 纯粹 的 历史 视角 来 回顾 PKI 体 系 的 安全 性 ,这 对 于 理解 其 发 展 非常 重要 。 

口 第 5 章 HTTP 和 浏览 器 问题 
这 一 章 讲述 HTTP 和 TLS 之 间 的 关系 ， 在 Web 出 现 根 本 性 增长 后 产生 的 问题 ， 以 及 不 同 的 
网 络 体 系 之 间 杂 乱 的 相互 作用 。 

口 第 6 章 ”实现 问题 
这 一 章 内 容 包 括 随 机 数 生成 、 证 书 验 证 以 及 其 他 核心 TLS 和 PKI 功 能 的 设计 和 编码 错误 。 
此 外 ， 还 讨论 了 自愿 协议 降级 和 截断 攻击 ， 涵 盖 心 脏 出 血 、FREAK 和 Logjam 等 备 受 瞩目 
的 攻击 。 

口 第 7 章 ”协议 攻击 
这 是 本 书 中 篇 幅 最 长 的 一 章 ， 涵 盖 了 近年 来 发 现 的 所 有 主要 的 协议 缺陷 : 不 安全 的 重新 
协商 、BEAST、CRIME 、Lucky 13、POODLE 和 POODLE TLS 、RC4 、TIME 和 BREACH， 
以 及 三 次 握手 攻击 。 这 一 章 还 简单 讨论 了 Bull Run 项 目 及 其 对 于 TLS 安 全 性 的 影响 。 

第 三 部 分 包括 第 8~10 章 ， 为 以 安全 且 高 效 的 方式 部 署 TLS 提 供 了 综合 指导 。 

口 第 8 章 ”部署 
这 一 章 是 整 本 书 的 地 图 , 提供 了 如 何 一 步 一 步 地 部 署 安全 上 且 工作 良好 的 TLS 服 务 器 和 Web 
应 用 的 操作 指南 。 

口 第 9 章 ”性 能 优化 
这 一 章 着 上 腿 于 TLS 的 速度 ,为 那些 希望 从 服务 器 中 榨取 每 一 点 速度 的 读者 详 述 了 各 种 提升 
性 能 的 技术 。 

口 第 10 章 HTTP 严格 传输 安全 、 内 容 安全 策略 和 钉 扎 
这 一 章 涉 及 加 强 Web 应 用 的 一 些 高 级 主题 ， 比 如 HTTP 严 格 传输 安全 和 内 容 安全 策略 。 这 





































































































一 章 也 涉及 钉 扎 ， 它 是 减少 由 当前 PKI 模 型 带 来 的 庞大 攻击 面 的 有 效 方法 。 
第 四 部 分 是 最 后 一 部 分 ， 由 第 11~16 章 组 成 ， 为 在 主流 部 署 平 台 和 Web 服 务 器 上 使 用 和 配置 









































TLS 以 及 如 何 使 用 OpenSSL 控 测 服务 融 配 置 提供 可 行 的 指导 。 


口 第 ll 章 ”OpenSSL 
这 一 章 描 述 了 OpenSSL 最 常用 的 功能 ， 主 要 介绍 其 安装 、 配 置 、 私 钥 和 证 书 管理 。 最 后 
的 11.4 节 给 出 如 何 构建 和 管理 一 个 私有 证 书 颁 发 机 构 的 操作 指南 。 
第 12 章 ”使 用 OpenSSL 进 行 测试 
这 一 章 继续 介绍 OpenSSL， 解 释 如 何 使 用 它 的 命令 行 工 具 测试 服务 器 配置 。 尽 管 使 用 自 
动 化 工具 测试 经 常 更 加 简单 , 但 当 读 者 想 确定 当前 具体 的 情况 时 , 仍然 可 以 使 用 OpenSSL 
工具 。 
口 第 13 章 配置 Apache 
这 一 章 讨论 流行 的 Web 服 务 器 Apache httpd 的 TLS 配 置 。 从 这 一 章 开 始 ， 将 有 一 系列 章节 
提供 实践 指导 ， 与 前 面 章 节 的 理论 相配 合 。 每 一 章 都 专注 于 一 个 主要 的 技术 层面 。 
口 第 14 章 配置 Java 和 Tomcat 
这 一 章 涉及 Java (第 7 版 和 第 8 版 ) 和 Tomcat 服 务 器 。 除 了 配置 信息 ， 这 章 也 包含 Web 应 用 
安全 的 指导 。 
口 第 15 章 ”配置 Microsoft Windows 和 IIS 
这 一 章 讨论 在 Microsoft Windows 平 台 和 JInternet Information Server 上 部 署 TLS 的 问题 , 也 为 
在 ASPNET 下 运行 的 Web 应 用 上 使 用 TLS 提 供 指导 。 
口 第 16 章 “配置 Nginx 
这 一 章 讨论 Nginx 服 务 器 ， 除 了 阐述 最 新 稳定 版 的 特性 ， 也 会 对 开发 分 支 中 的 一 些 改进 一 
探究 竞 。 
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SSL 与 TLS 





非常 不 笠 , 本 身 相 同 的 协议 却 有 两 个 名 称 。 根 据 我 的 经 验 , 大 多 数 人 很 熟悉 在 传输 层 加 密 的 









































场景 中 使 用 SSL 这 个 名 称 。 有 一 些 人 ,通常 是 那些 在 协议 上 花费 更 多 时 间 的 人 ,会 使 用 或 尝试 使 
用 更 适合 特定 场景 的 正确 名 称 。 虽然 也 许 并 不 能 成 功 做 到 , 但 我 仍 尝试 这 样 做 。 有 时 这 显得 很 烦 


珊 > 
适 月 








但 我 通过 下 面 的 步骤 做 到 了 这 一 点 : (1) 尽量 不 单独 提 及 某 一 个 名 称 ; (2) 如 果菜 条 指导 建议 





于 所 有 版 本 ， 那 么 将 两 个 名 称 都 列 出 来 ，(3) 其 他 情况 都 使 用 TLS。 各 位 读者 可 能 不 会 注意 


到 这 些 ， 那 也 没关系 。 
SSL Labs 

















SSL Labs ( www.ssllabs.com ) 是 我 从 2009 年 开始 的 一 个 研究 项 目 ， 关 注 SSLATLS 和 PKI 的 实 


用 领域 。 我 于 2010 年 携带 此 项 目 加 入 Qualys 公 司 。 开 始 , 我 的 主要 职责 并 不 在 此 ,但 是 到 了 2014 


年 ， 


我 将 全 部 精力 放 在 了 SSL Labs 上 。 
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viii 前 














这 个 项 目的 出 现 主要 是 由 于 我 了 解 到 , 缺乏 优秀 的 文档 和 工具 是 导致 了 TLS 服务器 配置 普 裔 很 
糟 的 主要 原因 (默认 配置 很 差 是 另 一 个 重要 原因 )。 我 想 ， 如 果 不 能 将 问题 可 视 化 ， 我 们 就 不 能 
开始 解决 问题 。 多 年 以 后 ，SSL Labs 扩 展 成 为 以 下 四 个 主要 项 目 。 
口 服务 器 测试 
SSLLabs 的 主要 特性 是 服务 器 测试 , 这 可 以 帮助 网 站 访问 者 审阅 任何 公开 的 Web 服 务 需 的 
配置 。 该 测试 包括 一 些 其 他 网 站 都 没有 的 重要 检查 ， 并 提供 服务 器 配置 的 综合 视图 。 等 
级 系统 也 很 容易 理解 ， 可 以 帮助 那些 并 非 安全 专家 的 人 区 分 问题 的 大 小 。 测 试 中 最 有 用 
的 部 分 之 一 是 模拟 握手 ， 它 可 以 预测 在 大 约 40 种 最 广泛 使 用 的 程序 和 设备 上 的 协商 协议 
和 加 密 套 件 。 该 功能 可 以 有 效 地 猜测 TLS 配 置 。 在 我 看 来 ， 该 功能 是 不 可 缺少 的 。 

口 客户 端 测试 
客户 端 测试 是 一 个 较 新 的 补充 ， 并 非 众所周知 ， 但 是 它 仍然 非常 有 用 ， 主 要 目的 是 帮助 
我 们 了 解 客户 端 在 众多 设备 上 的 能 力 。 这 个 测试 获得 的 结果 将 用 于 驱动 服务 器 测试 中 的 
握手 模拟 需 。 

口 最 佳 实践 

“SSL/TLS 部 署 最 佳 实践 ”是 一 个 简洁 而 合理 的 综合 指南 。 它 为 TLS 服 务 器 的 配置 提供 了 
明确 指导 。 这 篇 文档 非常 简短 ( 英文 版 约 14 页 )， 能 够 让 读者 在 短 时 间 内 吸收 ， 并 可 以 作 
为 服务 器 测试 伴侣 。 

口 SSL Pulse 

最 后 ,SSLPulse 的 设计 旨 在 监控 整个 SSL 体 系 ,并 通知 我 们 整个 体系 的 运转 情况 。 它 从 2012 
年 开始 运作 ， 专 注 于 一 个 由 启用 了 TLS 的 网 站 组 成 的 核心 群体 ， 而 这 些 网 站 是 从 Alexa 排 




































































































































































行 前 一 百 万 的 网 站 中 选 出 来 的 。 从 那 时 起 ，SSL Pulse 一 直 为 这 个 关键 体系 统计 每 月 快照 
还 有 其 他 一 些小 的 项 目 ， 读 者 可 以 从 SSL Labs 的 网 站 上 找到 关于 它们 的 更 多 信息 。 
在 线 资源 

















本 书 没 有 在 线 伴侣 (虽然 你 可 以 认为 SSL Labs 就 是 ), 但 是 它 确实 有 一 个 包含 全 书 中 引用 文 
档 的 在 线 存 储 库 : github.com/ivanr/bulletproof-tls。 我 会 及 时 扩展 这 个 存储 库 , 使 它 容纳 其 他 有 用 
的 内 容 作 为 本 书 的 补充 。 

如 果 和 希望 得 到 事件 和 消息 通知 ， 请 在 Twitter 上 关注 @ivanristic。TLS 是 我 在 这 些 日 子 里 的 一 
切 工 作 , 我 努力 在 这 里 通报 每 一 件 有 关联 的 事件 。 这 里 几乎 没有 垃圾 信息 。 此 外 ， 如 果 本 书 的 内 
容 有 改进 ， 我 也 会 在 Twitter 上 提醒 大 家 。 

我 的 博客 地 址 是 blog.ivanristic.com。 我 会 在 这 里 对 SSL 体 系 的 重要 新 闻 和 发 现 作 出 回应 ， 宣 
布 SSL Labs 的 改进 ， 公 布 我 的 研究 。 

如 果 你 购买 的 是 本 书 的 英文 电子 版 ， 那 么 可 以 随时 重新 登录 你 在 Feisty Duck 网 站 上 的 账户 ， 
下 载 最 新 的 版 本 。 一 次 购买 包括 对 同一 版 次 更 新 的 无 限 次 访问 权限 。 你 还 可 以 选择 在 本 书 增加 新 
内 容 或 者 发 生 某 些 非常 重要 的 事情 ( 比如 , 发 现 某 个 新 的 协议 缺陷 ) 时 , 收 到 临时 电子 邮件 通知 。 

































































反馈 


我 很 幸运 ， 只 要 我 想 更 新 本 书 ， 就 可 以 随时 更 新 。 这 并 不 是 一 个 巧合 ， 我 是 专门 这 样 做 的 。 
如 果 我 今天 修改 了 ,经 过 每 天 的 自动 化 构建 ,明天 大 家 就 能 看 到 。 更 新 纸 质 的 书 相 对 麻烦 ,不 过 
有 了 按 需 印刷 ,我们 可 以 在 需要 时 发 布 修订 版 。 

因此 , 与 许多 其 他 的 书 永远 不 会 再 版 不 同 , 读者 的 反馈 可 以 影响 本 书 。 如 有 果 读 者 发 现 一 处 错 
误 , 那么 几 天 之 内 这 个 错误 就 会 得 到 修正 。 当 然 , 对 于 小 的 改进 也 是 一 样 ， 比 如 语法 修改 或 者 说 
明 解 释 。 如 果 某 个 平台 在 某 些 地 方 发 生 了 变化 ， 或 者 有 新 的 发 展 ， 我 也 会 跟踪 到 。 我 的 目的 是 ， 
只 要 读者 有 兴趣 ， 我 就 会 保持 本 书 与 时 俱 进 。 


请 通过 ivanr@webkreatorcom 写 信 给 我 。 


关于 作者 


在 这 部 分 内 容 中 ， 我 会 以 第 三 人 称 介绍 自己 。 这 就 是 我 的 “官方 ”自传 。 

Ivan Risti6 是 一 位 安全 研究 员 、 工 程 师 、 作 者 。 他 对 于 Web 应 用 防火 墙 领域 的 发 展 ， 
开源 Web 应 用 防火 墙 ModSecurity 的 开发 ， 以 及 在 SSL Labs 网 站 上 对 SSL/TLS 和 PKI 的 研 
究 、 工 具 和 指南 的 发 表 ， 都 作出 了 很 大 的 贡献 ， 因 此 享誉 世界 。 

他 写 过 4pacjhe Security、ModSecurity Pandpook 和 《HTTPS 权 威 指南 》 三 本 书 ， 并 将 
其 发 表 到 Feisty Duck 上 。Feisty Duck 有 是 他 持续 写作 和 发 表 的 平台 。Ivan 是 安全 社区 的 活 
跃 参与 者 ， 经 常 在 Black Hat、RSA、OWASP AppSec 等 各 种 安全 会 议 上 进行 演讲 。 他 之 
前 就 职 于 Qualys 公 司 ， 担 任 应 用 安全 研究 主任 。 




























































































我 也 应 该 提 一 下 《OpenSSL 攻 略 》， 这 是 一 本 免费 电子 书 ， 其 中 包含 了 本 书 第 11 章 和 第 12 章 
的 内 容 ， 以 及 文档 “SSL/TLS 部 署 最 佳 实践 ”的 内 容 。?” 


致谢 


虽然 这 是 我 写 的 一 本 书 , 但 我 并 不 是 唯一 的 作者 。 本 书 内 容 建立 在 分 散 于 各 种 书籍 、 标 准 文 
档 、 研 究 论文 、 会 议 演讲 、 博 客 文章 ， 甚 至 Twitter 上 有 关 加 密 和 计算 机 安全 的 大 量 信息 之 上 ， 多 
得 令 人 难以 置信 。 是 上 千 人 的 工作 成 就 了 本 书 。 

多 年 来 ,我 有 幸 与 许多 在 计算 机 安全 领域 的 同仁 共事 ,他们 扩展 了 我 在 这 方面 的 知识 。 他 们 
中 的 很 多 人 都 帮助 我 审阅 过 部 分 手稿 。 我 非常 感谢 他 们 的 帮忙 。 本 书 的 核心 章节 由 许多 高 手 帮 有 我 
审阅 , 其 中 不 乏 那 些 设计 标 准 或 推翻 标准 的 大 师 , 也 有 我 提 到 的 程序 开发 者 , 这 令 我 轻松 了 许多 。 

Kenny Paterson 对 第 7 章 ， 也 就 是 全 书 最 长 也 是 最 复杂 的 一 部 分 ， 进 行 了 仔细 的 审阅 ， 这 使 我 
受益 匪 浅 。 我 认为 他 对 待 我 就 像 对 待 他 的 学 生 一 样 ,我 的 作品 也 因此 有 了 很 大 的 改进 。 我 花 了 整 




































































@ 这 本 小 册子 的 中 文 版 可 在 图 灵 社 区 本 书 主页 ( http:/www.ituring.com.cn/book/1734 ) 免费 下 载 。 一 一 编者 注 




















整 一 周 时 间 才 按照 Kenny 的 意见 完成 了 内 容 修改 。 

Benne de Weger 审 阅 了 密码 学 和 攻击 PKI 的 相关 章节 。Nasko Oskov 审 阅 了 关于 Microsoft 协 议 
实现 的 核心 章节 。 来 自 Symantec 的 Rick Andrews 和 他 的 同事 们 帮忙 审阅 了 第 4 章 和 第 5 章 ， 此 外 
Adam Langley 也 提供 了 帮助 。Marc Stevens 曾 经 针对 PKI 攻 击 ， 尤 其 是 MD5 和 SHA1 的 选择 前 级 攻 
击 写 信 给 我 。Nadhem AlFardan、Thai Duong 和 Juliano Rizzo 审 阅 了 第 7 章 , 并 且 回 答 了 我 关于 他 们 
工作 的 提问 ,非常 有 用 -Ilya Grigorik 对 第 9 章 的 审查 非常 仔细 ,他 的 建议 也 非常 有 用 。Jakob Schlyter 
对 DANE 有 一 种 特别 的 关注 ， 他 审阅 了 关于 进 阶 话题 的 章节 (HSTS 和 CSP )。Rich Bowen 和 Jeff 
Trawick 审 阅 了 第 13 章 ，Jeff 还 修正 了 Apche 中 有 关 TLS 的 一 些 问题 ， 这 使 我 更 加 努力 地 跟 上 变化 。 
Oracle 的 Xuelei Fan 和 Erik Costlow 审 阅 了 第 14 章 ， 此 外 还 有 Mark Thomas 、William Sargent 和 Jim 
Manico。Andrei Popov 和 Ryan Hurst 审 阅 了 第 15 章 。Maxim Dounin 总 是 很 快 地 回答 我 对 Nginx 的 问 
题 ， 并 且 审 阅 了 第 16 章 。 

Vincent Bernat 的 microbenchmarking 工 具 在 我 写 关 于 性 能 的 第 9 章 时 起 了 很 大 作用 。 

Eric Lawrence 发 给 我 无 数 的 注释 和 问题 ， 我 从 没 想到 过 我 会 遇 到 这 样 仔细 的 审阅 人 。Eric 是 
每 位 作者 所 梦想 的 那 种 评论 家 ， 我 非常 感谢 他 严谨 的 态度 。 

同样 ， 十 分 感谢 我 的 读者 ， 是 你 们 给 了 我 非常 好 的 意见 反馈 : Pascal Cuoq 、Joost van Dijk、 
Danisl van Eeden、 Stephen N. Henson 博 十 、Brian Howson 、Rainer Jung、 Brian King、 Hendrik Klinge 、 
Olivier Levillain 、Colm MacCarthaigh 、Dave Novick 、Pascal Messerli 和 Christian Sage。 感 谢 你 们 1! 

我 要 特别 感谢 文字 编辑 Melinda Rankin， 你 总 是 能 快速 响应 我 的 编辑 要 求 ， 并 将 其 并 入 基于 
DocBook 的 工作 流 。 我 还 要 感谢 Qualys 公 司 ， 感谢 你 们 支持 我 的 写作 ,支持 SSL Labs 的 工作 。 






































































































































第 1 章 SSL、TLS 和 密码 学 dn ed 1 
1.1 传 合 安全 村 1 
1.2 网 络 属 和 Ne 2 
1.3 ”协议 历史 3 
1.4 密码 学 和 4 

1.4.1 构建 其 块 和 Ne 4 
1.4.2 协议 和 12 
1.4.3 ”攻击 密码 人 ee 13 
1.4.4 衡量 强度 和 13 
1.4.5 中间 人 攻击 于 enn, 15 

第 2 章 协议 19 
2.1 记录 协议 19 
2.2 ”握手 协议 21 

2.2.1 完整 的 握手 eee 21 

2.2.2 ”客户 端 身份 验证 ee 26 

2.2.3 会话 恢 复 28 

2.3 ” 密 钥 交换 和 29 

2.3.1 RSA 密 钥 交换 和 pp 30 

2.3.2 ”Diffie-Hellman 密 钥 交换 和 PP 31 
2.3.3” 桶 圆 曲线 Diffie-Hellman 密 钥 

交换 1 33 

2.4 ”身份 验证 34 

2.5 加 密 34 

2.$.1 序列 加 审 34 

2.$.2 分 组 加 审 eeeeeeeee 35 

2.5.3 已 验证 的 加 审 36 

2.6 重新 协商 村 37 

2.7 应 用 数据 协议 和 ee 38 

2.8 ”警报 协议 和 ee 38 

2.9 ”关闭 连接 站 39 


2.13 
2.14 


第 3 章 


3.1 
3 过 
3.3 


3.4 
3.5 











密码 操作 te 39 
2.10.1 伪 随 机 涵 数 enonennenee 39 
2.10.2 主 密 铀 pe 40 
2.10.3 密 钥 生成 40 
密码 套件 和 ee 41 
扩展 和 ee 42 
2.12.1 应 用 层 协议 协商 站 pp 43 
2.12.2 证书 透明 度 和 Ne 44 
2.12.3 椭圆 曲线 功能 pp 44 
2.12.4 司 跳 站 45 
2.12.$ 次 协议 协商 46 
2.12.6 ”安全 重新 协商 和 47 
2.12.7 服务 器 名 称 指示 pp 47 
2.12.8 会话 票证 48 
2.12.9 签名 算法 和 48 
2.12.10 OCSP stapling ee 49 
协议 限制 49 
协议 版 本 间 的 差异 和 50 
2.14.1 SSL Fess 50 
2.14.2 TLS 1,0 50 
2143 TLS TL Lorrie tri ini en 50 
D144 "TLS Dri 51 
公 钥 基础 设施 52 
互联 网 公 钼 基础 设施 和 pp 52 
标准 a S4 
证 冰 55 
3.3.1 证 书 字段 和 55 
3.3.2 证书 扩展 人 ee 57 
证 书 链 58 
信赖 方 a 60 











































































Xii 目 录 
3.6 ”证 书 颁 发 机 构 和 61 让 GT 93 
a Se :1 
ee 人 第 5 章 HTTP 和 浏览 器 问题 9 
BO De 63 5.1 sidejacking 95 
3.10， 根 密 钥 泄 圳 pe 65 5.2 ”Cookie 窃取 和 97 
3.11 生态 系统 评 全 ee 66 5.3 Cookie 自 改 0 98 
3.12 ”进步 ie 68 5.3.1 了 解 HTTP Cookie ee 98 
5.3.2 ”Cookie 自 改 攻击 enneeeeee. 99 
第 4 章 ”攻击 PK 71 5.3.3 影响 102 
4.1 VeriSign 签发 的 Microsoft 代码 签名 5.3.4 缆 解 方法 和 Ne 103 
证 书 71 5.4 SSL 刊 亢 和 103 
4.2 Thawte 签发 的 login.live.com ee 72 5.5 中 间 人 攻击 证 书 nents. 104 
4.3 StartCom 违规 (2008) 0 72 5.6 证 书 敖 告 0 105 
4.4 CertStar (Comodo) 签发 的 Mozilla 5.6.1 为 什么 有 这 么 多 无 效 证 书 ……… 107 
证 将 5.6.2 证书 警 告 的 效果 pp 108 
4.5 ”伪造 的 RapidSSL CA 证 书 5.6.3” 点击- 通过 式 警告 与 例外 ………… 109 
4.5.1 前 组 选择 碰撞 攻击 5.6.4 
4.5.2 创建 碰撞 证 将 ee 5.7 ”安全 指示 标志 
i 5.8 混合 内 容 和 112 
4.5.4 接 下 来 发 生 的 事 Te 78 5.8.1 根本 原因 RE 112 
4.6 Comodo 代理 商 违规 neers 78 5.8.2 影响 和 114 
4.7 ”StartCom 违规 (2011) eeeeeeeeeeees 80 5.8.3 浏览 器 处 理 怕 ee 114 
4.8 DigiNotar ee 80 5.8.4 ”混合 内 容 的 流行 程度 ………………… 116 
4.8.1 公众 的 发 现 和 ee 80 5.8.5 ”缓解 方法 ee 117 
4.8.2 一 个 证 书 颁 发 机 构 的 合 下 ………81 5.9 扩展 验证 证 书 
4.8.3 ”中间 人 攻击 82 5.10 ”证书 吊销 
4.8.4 ComodoHacker 宣布 负责 …………… 83 5.10.1 客户 闹 
4.9 DigiCert Sdn. Bhgd PP 85 $5.10.2 帅 销 检查 标 准 的 主要 问题 人 119 
4.10 火焰 病毒 OMT OE 85 5.10.3 证 书 吊销 列表 a 120 
4.10.1 火焰 病毒 对 抗 Windows 5.10.4 ”在 线 证 书 状 态 协 议 ………… 122 
更 新 86 ee 
4.10.2 火焰 病毒 对 抗 Windows 第 6 章 实现 问题 .ee 127 
终端 服务 站 87 6:1 证书 校 验 缺 隐 和 ee 127 
4.10.3 火焰 病毒 对 抗 MDS pp 88 6.1.1 在 库 和 平台 中 的 证 书 校 验 
1 (人 RTRUST ade 89 BR 128 
NE 90 6.1.2 应 用 程序 校 验 缺 隐 pp 131 
4.13 ”印度 国家 信息 中 心 ee 91 6.1.3 主机 名 校 验 问题 …… 132 
4.14 广泛 存在 的 SSL 窃听 站 91 6.2 ”随机 数 生 成 ee 133 
4.14.1 Gogoreee 6.2.1 Netscape Navigator 浏览 
4.14.2 ”Superfish 和 它 的 朋友 们 ……… 92 器 (1994) ee 133 











6.2.2 Debian (2006) ppp 134 
6.2.3 吝 入 式 设 备 灶 不 足 问题 ny 135 
6.3 心脏 出 徊 ee 137 
6.3.1 影响 137 
6.3.2” ”缓解 方法 全 eee 139 
全 下 PREAR oe 139 
6.4.1 出 口 密码 140 
6.4.2 正直 be. 140 
6.4.3 ”影响 和 缓解 方法 ee 143 
6.5 Logjam ee 144 
6.5.1 针对 不 安全 DHE 密 钥 交 换 的 
主动 攻击 ee 144 
6.5.2 ”针对 不 安全 DHE 密 钥 交换 的 
预先 计算 攻击 本 145 
6.5.3 ”针对 弱 DH 密 钥 交换 的 状态 - 
水 平 威胁 146 
6.5.4 影响 
6.5.5 缓解 方法 和 
6.6 协议 降级 攻击 
6.6.1 SSL3 中 的 回 退 保护 
6.6.2 ” 互 操作 性 问题 和 
6.6.3 自愿 协议 降级 ee 
6.6.4 TLS 1.0 和 之 后 协议 的 回 退 
保护 153 
6.6.5 攻击 自愿 协议 降级 pp 154 
6.6.6 ”现代 回 退 防御 eee 154 
6.7 截断 攻击 和 156 
6.7.1 截断 攻击 的 历史 :pp 157 
6.7.2 ”Cookie 截断 eee 157 
6.8 部署 上 的 弱点 站 ee 159 
6.8.1 虚拟 主机 混 清 本 站 159 
6.8.2 TLS 会 话 缓存 共享 Ne 160 
第 7 音 协议 攻击 …………… 
7.1 不 安全 重新 协商 
7.1.1 为 什么 重新 协商 是 不 安全 的 ……162 
7.1.2 触发 弱点 ee 162 
7.1.3 针对 HTTP 协议 的 攻击 ………… 163 
7.1.4 针对 其 他 协议 的 政 击 pp 166 
7.1.5 由 架构 引入 的 不 安全 重新 协商 





2 


73 


7.4 


7.5 


7.6 


See] 


























问题 167 
7.1.6 影响 和 167 
7.1.7 缓解 方法 站 167 
7.1.8 漏洞 发 现 和 补救 时 间 表 和 pp 168 
BEAST 和 人 ， 169 
7.2.1 BEAST 的 原理 和 pp 170 
7.2.2 ”客户 端 缓解 方法 pp 173 
7.2.3 ”服务 器 端 缓 解 方法 175 
7.2.4 ”历史 ee 
7.2.5 影响 
压缩 旁 路 攻击 本 于 178 
7.3.1 压缩 预示 如 何 生效 ee 178 
7.3.2 ”下 击 的 历史 pp 180 
7.3.3 CRIME 181 
7.3.4 针对 TLS 和 SPDY 攻击 的 缓解 

方法 和 187 
7.3.5 针对 HITP 压缩 攻击 的 缓解 

方法 站 188 
Lucky 13 和 189 
7.4.1 什么 是 填充 预示 pp 189 
7.4.2 ”针对 TLS 的 政 击 和 190 
7.4.3 影响 和 191 
7.4.4 缓解 方法 站 191 
RC4 缺陷 192 
7.$.1 密 钥 调度 弱 旧 和 192 
7.5.2 单字 节 偏 差 
7.5.3 前 256 字 节 偏差 RT 194 
7.$.4 双 字 节 偏 六 196 
7.5.5 ”针对 密码 进行 攻击 的 改进 ……… 196 
7.5.6 缓解 方法 : RC4 与 BEAST、 

Lucky 13 和 POODLE 的 

比较 197 
三 次 握手 攻 了 
7.6.1 下 未 和 
7.6.2 影响 和 
7.6.3 先决 条 件 
7.6.4 缓解 方法 
POODLEB Sm 
7.7.1 实际 攻击 
7.7.2 影响 和 




























XiV 目 录 
7.7.3 ”缓解 方法 和 ee 208 8.8.1 充分 利用 加 审 .ee 228 
7.8 Bullran ee 209 8.8.2 Cookie 安全 seer. 229 
A 8.8.3 后 误 证 书 和 域名 验证 roosrerss 229 
第 8 章 部 署 ee 212 Be sD oR 
8.1 密 钥 ee 212 和 85 内容 安 会 策 鲍 ei 230 
8.8.6 协议 降级 保护 Snes 230 
第 9 童 性 能 优化 alarm 231 
8.2 9.1 延迟 和 连接 管理 ee 232 
国人 232 
9.1.2 长 连接 ee 234 
9.1.3 SPDY、HTTP 2.0 以 及 其 他 …… 235 
9.1.4 内 容 分 发 网 络 
9.2 TLS 协议 优化 站 
9.2.1 ” 密 钥 交换 ………… 
82.7 选择 合适 的 CA 9.2.2 证 怕人 
8.3 ”协议 配置 和 9.2.3 吊销 检查 和 ee 
8.4 ”密码 套件 配置 9.2.4 会话 恢复 …… 
8.4.1 服务 器 密码 套件 配置 优先 925 传输 开销 是 0 
8.4.2 ”加密 强度 和 9.2.6 “对称 加 密生 244 
8.4.3 前 向 保密 221 9.2.7 TLS 记录 缓存 延迟 ee 246 
8.4.4 ”性 能 人 ee 222 9.2.8 ” 互 操 作 性 esseeeeeeeeeeneonsesnsne 247 
8.4.5 互 操作 性 站 ee 222 9.2.9 ”硬件 加 如 ene 247 
8.5 服务 器 配置 和 架构 和 223 9.3 ”拒绝 服务 攻击 站 ee 248 
8.5.1 共享 环境 和 ee 223 9.3.1 密 钥 交换 和 加 密 CPU 开销 …… 249 
8.5.2 ”虚拟 安全 托管 eeeenenneee 223 9.3.2 ”客户 端 发 起 的 重新 协商 ………… 250 
8.5.3 会 话 缓存 和 223 9.3.3 优化 过 的 TLS 拒绝 服务 攻击 …250 
得 丸 i 
i ee en ee 2 第 10 章 HTTP 严格 传输 安全 、 内 容 安全 
8.6.1 重新 协商 ene 225 策略 和 人 钉 扎 0 251 
8.6.2 BEAST (HTTP) iii. 225 10.1 HTTP 严格 传输 安全 
8.6.3 CRIME (HTTP) eee 225 10.1.1 配置 HSTS ee 
8.6.4 Lucky 13 eee 226 10.1.2 ”确保 主机 名 和 窗 盖 ………… 253 
ee 226 10.1.3 ”Cookie 安全 pp 253 
8.6.6 TIME 和 BREACH 10.1.4 下 击 向 量 本 Ne 254 
(HT TP) ri 227 10.1.5 浏览 器 支持 和 255 
8.6.7 三 次 握手 攻击 和 ee 227 10.1.6 ”强大 的 部 署 清单 ee 256 
8.6.8 心脏 出 起 228 10.1.7 隐私 问题 和 257 
Rr 3 228 10.2 ”内 容 安 全 策 柳 和 257 
HE eT te 228 10.2.1 防止 混合 内 容 问 题 pp 258 















































10.2.2 ”策略 测试 和 259 11.4.2 创建 根 CA 301 
10.2.3 ”报告 ee 259 11.4.3 创建 二 级 CA 306 
10.2.4 浏览 器 支持 和 259 
et 260 第 12 章 使 用 OpenSSL 进行 测试 …… 309 
10.3.1 钉 扎 的 对 象 和 261 12.1 连接 SSL 服务 和 309 
10.3.2 在 哪里 钉 扎 和 ee 262 12.2 ”测试 升级 到 SSL 的 协议 ……………… 312 
10.3.3 ”应 该 使 用 钉 扎 吗 : 和 pp 263 12.3 ”使 用 不 同 的 握手 格式 和 313 
10.3.4 在 本 机 应 用 程序 中 使 用 12.4 提取 远程 证 书 ed de ee ds eh de 313 
A | 263 12.5 测试 支持 的 协议 314 
10.3.$ ”Chrome 公 钥 钉 扎 和 pp 264 12.6 ”测试 支持 的 密码 套件 ………………………… 314 
10.3.6 Microsoft Enhanced Mitiga- 12.7 ”测试 要 求 包含 SNI 的 服务 器 …………… 315 
tion Experience Toolkit ………: 265 12.8 测试 会 话 复 用 站 316 
10.3.7 HTTP 公 钥 钉 扎 扩展 a eo 265 12.9 检查 OCSP 吊销 状态 a 316 
103.8 DANE 267 12.10 测试 OCSP stapling 和 318 
10.3.9 ”证 书 密 钥 可 信保 证 …………… 270 12.11 检查 CRL 吊销 状态 和 319 
10.3.10 证 书 颁 发 机 构 授 权 sale 271 12.12 测试 重新 协商 ER 321 
二 12.13 测试 BEAST 漏洞 322 
第 11 章 OpenSSL ee 272 12.14 ”测试 心脏 出 血 ……………… 323 
ey UI Oe 272 12.15 ”确定 Diffie-Hellman 参数 的 强度 …… 325 
11.1.1 确定 OpenSSL 版 本 和 有 
和 273 ”第 13 章 配置 Apache pp 327 
11.1.2 构建 OpenSSL ee 274 13.1 安装 静态 编译 OpenSSL 的 Apache……328 
11.1.3 查看 可 用 命令 pe ee rp 275 13.2 启用 TLS ee 329 
11.1.4 ”创建 可 信 证 书 麻 ee 276 13.3 配置 TLS 协议 ee 329 
11.2” 密 钥 和 证 书 管理 和 277 13.4 ”配置 密 钥 和 证 书 …………… 330 
11.2.1 生成 审 钢 和 ee 277 13.3， 她 宣 多 丫 密 负 下 和 331 
11.2.2 和 建 证 书签 名 中 请 ol esel ee 280 13.6 通配符 和 多 站 点 证 书 OO 332 
11.2.3 用 当前 证 书生 成 CSR 13.7 虚拟 安全 托管 a 333 
文件 ee 282 13.8 ”为 错误 消息 保留 默认 站 点 ………………… 334 
11.2.4 非 交互 方式 生成 SR 282 13.9 前 向 保密 人 335 
1123 首 膏 郑 定 御 re 283 13.10 OCSP staplingeeeeee 336 
11.2.6 创建 对 多 个 主机 名 有 效 的 13.10.1 配置 OCSP stapling 336 
证 将 和 ee 283 13.10.2 ”处 理 错误 337 
Bl 284 13.10.3 ”使 用 自 定义 OCSP 响应 
11.2.8 密 钥 和 证 书 格式 转换 RS 286 程 ov 338 
11.3 配置 和 ee 288 13.11 配置 临时 的 DH 密 钥 交换 …………… 338 
11.3.1 选择 密码 套件 和 ee 288 13 TIS 公 证 管理 mii 338 
11.3.2 性 能 eee 298 13.12.1 独立 会 话 缓存 ………………………… 338 
11.4 ”创建 私有 证 书 颁发 机 构 ………………… 300 13.12.2 独立 会 话 栋 证 339 








11.4.1 功能 和 限制 ee 301 13.12.3 ”分 布 式 会 话 缓存 ………………… 340 




































































XV1 目 录 
1 人 .124 一 他 布 性 会 证 时 神 ionir 341 15.3.1] Schannel 配置 pp 381 
13.12.5 ”禁用 会 话 票 证 enn: 342 15.3.2 ”密码 套件 配置 pp 382 
13.13 客户 端 身份 验证 rn 343 15.3.3 密 钥 和 签名 限制 eseeeeeeeees 384 
13.14 ”缓解 协议 问题 344 15.3.4 ”重新 协商 配置 eeeeeeeeee 389 
13.14.1 不 安全 的 重新 协商 ………… 344 15.3.5 ”配置 会 话 缓 存 ee 390 
13.142. BEAQTSe 15.3.6 ”监控 会 话 缓存 391 
1 CRIME a [S37 "FIPS FAO eid 391 
13.15 部署 HTTP 严格 传输 安全 15.3.8 ”第 三 方 工 瞧 ee 393 
13.16 ”监视 会 话 缓存 状态 ………… 15.4 保护 ASP.NET 网 站 应 用 的 安全 ……… 394 
13.17 记录 协商 的 TLS 参数 AA 15.4.1 强制 使 用 SS 394 
13.18 使 用 mod sslhaf 的 高 级 日 志 记 录 ……347 15.4.2 ”Cookie 的 保护 395 
15.4.3 ”保护 会 话 Cookie 和 Forms 
第 14 早 配置 Java 和 Tomcat Te 身份 验证 的 安全 hi 395 
14.1 Java 加 密 组 件 ………………… 15.4.4 部 署 HTTP 严格 传输 安全 ….396 
14.1.1 无 限制 的 强加 密 ………… 15.5 ”Internet 信息 服务 ee 396 
14.1.2” Provider 配置， 
14.1.3 ”功能 概述 pe 第 16 章 配置 Nginx ee 402 
14.14， 协议 漏洞 于 ii 16.1 ”以 静态 链接 OpenSSL 方式 安装 
14.1.5 互 操 作 性 问题 …… Nginx ee 402 
14.1.6 ”属性 配置 调 优 和 pp 16.2 ”启用 TLS ee 403 
14.1.7 常见 错误 消 息 a i 16.3 ”配置 TLS 协议 Ne 403 
14.1.8 保护 Java Web 应 用 .pp 16.4 配置 密 钥 和 证 间 PP 404 
14.1.9 ”常见 密 钥 麻 操 作 ………………… 16.5 ”配置 多 密 铅 ee 405 
en 16.6 ”通配符 证 书 和 多 站 点 证 书 …………… 405 
14.2.1 TLS 配置 16.7 ”虚拟 安全 托管 406 
1 CJSSE Be sade ed 16.8 ”上 默认 站 点 返回 错误 消息 …………………… 406 
14.2.3 APR 和 OpenSSL 配置 PP 1 0:0 ,iT 407 
SA a . 16.10 OCSP stapling.ee 407 
第 15 章 配置 Microsoft Windows 16.10.1 ee OCSP stapling 408 
和 [|S 375 16.10.2 自 定义 OCSP 响应 409 
1 OD a 16.10.3 ”手动 配置 OCSP 响应 …… 409 
15.1] 对 要 时 16.11 配置 临时 DH 密 钥 交换 ……………… 410 
15.1.2 ”协议 漏洞 和 ee 16.12 ”配置 临时 ECDH 密 钥 交换 ………… 410 
15.1.3 ” 互 操 作 性 问题 16.13 TELS 会话 管理 ede 411 
15.2 ”Microsoft 根 证 书 计划 …………………………… 16.13.1 独立 会 话 疆 存 …………………… 411 
15.2.1 管理 系统 可 信 证 书库 ………… 379 16.13.2 ”独立 会 话 票 证 ee 411 
15.2.2 导入 可 信 证 书 ene。 380 16.13.3 ”分 布 式 会 话 缓存 ……………… 412 
15.23 本 380 16.13.4 ”分 布 式 会 话 票 证 412 
15.2.4 ”禁用 根 证 书 自动 更 新 ………… 380 16.13.5 ”禁用 会 话 票证 eeeen 413 
15.3 ”配置 ee 380 16.14 ”客户 端 身 份 验证 ……………… 413 








16.17 TLS 缓冲 区 调 优 : 








16.15 缓解 协议 问题 





16.15.1 不 安全 的 重新 协商 ………… 414 16.18 日志 记录 区 ee 416 
T6159 DEXNGT 415 he 

17 童 ” 总结 41 
T6183 "CRINE Ses 415 第 17 章 总 结 3 


16.16 部署 HTTP 严格 传输 安全 ……………… 415 


SSL、TLS 和 密码 学 











我 们 生活 在 一 个 互联 网 时 代 。 在 20 世 纪 的 最 后 十 年 ， 互联 网 已 经 十 分 普及 , 并 且 永 久 性 地 改 
变 了 我 们 的 生活 方式 。 今 天 ,我们 依靠 手机 和 计算 机 进行 通信 、 购 买 商品 、 支 付 账 单 、 旅 行 、 工 
作 , 等 等 。 很 多 人 的 口袋 里 总 是 装着 处 于 开机 状态 的 设备 ; 我 们 并 不 只 是 连接 到 互联 网 ， 其 实 就 
是 互联 网 的 一 部 分 。 目 前 手机 的 数量 已 经 超过 了 人 口 的 数量 。 智 能 手机 的 数量 已 经 达到 数 十 亿 ， 
并 且 仍 保持 着 快速 增长 。 与 此 同时 ,诸多 计划 正 酝 酿 将 各 种 设备 连接 到 同一 网 络 。 显 然 ， 这 一 切 
才刚 刚 开 始 。 

所 有 连接 到 互联 网 的 设备 都 有 一 个 共同 点 ,它们 依赖 安全 套 接 字 层 ( secure socketlayer, SSL ) 
和 传输 层 安全 (transport layer security，TLS ) 协议 保护 传输 的 信息 。 


1.1 传输 层 安 全 


人 们 最 初 设计 互联 网 时 , 很 少 考虑 到 安全 。 这 样 的 结果 是 , 核心 通信 协议 本 质 上 是 不 安全 的 ， 
能 依靠 所 有 参与 方 的 诚信 行为 。 互 联网 在 早期 由 少数 节点 ( 大 部 分 是 大 学 ) 构成 ， 那 时 这 也 许 
得 通 ; 但 现在 所 有 人 都 可 以 连接 到 互联 网 ， 这 种 方式 便 土 朋 瓦解 。 

SSL 和 TLS 都 是 加 密 协议 ， 旨 在 基于 不 安全 的 基础 设施 提供 安全 通信 。 这 意味 着 ， 如 果 正 确 
部 署 这 些 协议 , 你 就 可 以 对 互联 网 上 的 任意 一 个 服务 打开 通信 信道 , 并 且 可 以 确信 你 会 与 正确 的 
服务 器 通信 ， 安 全 地 交换 信息 ( 你 的 数据 不 会 被 他 人 截取 ， 而 且 在 接收 时 会 保持 原样 )。 这 些 协 
议 保护 着 通信 链 路 即 传输 层 ， 这 也 是 TLS 名 称 的 由 来 。 

安全 不 是 TLS 的 唯一 目标 。TLS 实 际 上 有 以 下 四 个 主要 目标 ( 按 优先 顺序 排列 )。 
口 加 密 安 全 
这 是 主要 问题 : 为 任意 愿意 交换 信息 的 双方 启用 安全 通信 。 
口 互 操作 性 
独立 的 编程 人 员 应 该 能 够 使 用 通用 的 加 密 参 数 开发 程序 和 库 ， 使 它们 可 以 相互 通信 。 
口 可 扩展 性 

你 很 快 就 会 看 到 , TLS 是 一 种 能 高 效 开 发 和 部 署 加 密 协议 的 框架 。 其 重要 目标 是 独立 于 实 

际 使 用 的 加 密 基 元 ( 例如 密码 和 散 列 函数 )， 从 而 不 需要 创建 新 的 协议 ， 就 允许 从 一 个 基 

元 迁移 到 另 一 个 。 
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口 效率 
最 终 的 目标 是 在 实现 上 述 所 有 目标 的 基础 上 保持 性 能 成 本 在 可 接受 的 范围 内 。 这 需要 尽 
量 减 少 昂贵 的 加 密 操 作 的 执行 次 数 ， 并 提供 一 个 会 话 缓存 方案 ， 以 避免 这 些 加 密 操 作 在 
随后 的 连接 中 被 执行 。 


1.2 网 络 层 


互联 网 的 核心 是 建立 在 IP ( internet protocol ) 和 TCP ( transmission control protocol ) 协议 之 上 
的 ,这 些 协议 用 于 将 数据 分 割 成 小 数据 包 进 行 传输 。 这 些 数据 包 在 全 世界 范围 内 历经 数 千里 的 传 
输 ,， 在 此 期 间 需 要 跨越 许多 国家 的 许多 计算 机 系统 ( 称 为 路 点 ，hop )。 由 于 核心 协议 本 身 不 提供 
任何 安全 保障 , 任何 有 权 访 问 通 信和 链 路 的 人 都 可 以 获得 所 有 数据 , 并 且 可 以 在 不 被 察觉 的 情况 下 
改变 这 些 数 据 。 

IP 和 TCP 不 是 唯一 易 受 攻击 的 协议 , 还 有 一 系列 其 他 路 由 协议 用 于 协助 发 现 网 络 上 的 其 他 计 
算 机 。DNS 和 BGP 就 是 这 样 的 两 个 协议 。 它 们 同样 是 不 安全 的 ， 可 以 被 他 人 通过 各 种 方式 劫持 。 
如 果 出 现 这 种 情况 ， 发 往 一 台 计 算 机 的 连接 可 能 由 攻击 者 响应 。 

如 果 部 署 了 加 密 , 攻击 者 也 许 有 能 力 得 到 加 密 数据 的 访问 权限 , 但 是 不 能 解密 数据 或 者 自 改 
数据 。 为 了 避免 伪装 攻击 , SSL 和 TLS 依 赖 另 外 一 项 被 称 为 公 铀 基础 设施 (public key infrastructure， 
PKI ) 的 重要 技术 ， 确 保 将 流量 发 送 到 正确 的 接收 端 。 

为 了 理解 SSL 和 TLS 的 运作 ， 我 们 需要 从 描述 网 络 通信 的 理论 模型 和 人手， 即 开放 系统 互联 
(open systems interconnection，OSI ) 模型 ， 参 见 表 1-1。 简 单 来 说 ， 所 有 功能 都 被 映射 到 七 个 层 
上 。 最 底层 是 最 接近 物理 通信 链 路 的 层 , 后 面 的 层 依次 建立 在 其 他 层 之 上 , 提供 更 高 级 别 的 抽象 。 
最 顶层 就 是 应 用 层 ， 携 带 着 应 用 数据 。 


注意 
现实 中 的 协议 并 非 总 能 与 OSI 模型 完全 对 应 。 比 如 SPDY 和 HTTP/2 因 为 要 对 连接 进行 
管理 ， 所 以 被 归 入 会 话 层 协议 , 但 它们 却 在 数据 加 密 以 后 生效 。 第 五 层 及 更 高 层 的 划 
























































































































































分 经 常 是 模糊 的 。 
表 1-1 OSI 模 型 层 
层 号 OSI 层 描 述 协议 示例 
7 应 用 层 应 用 数据 HTTP、SMTP、IMAP 
6 示 层 数据 表示 、 转 换 和 加 密 SSL/TLS 
5 会 话 层 多 连接 管理 3 
4 传输 层 包 或 流 的 可 靠 传输 TCP、UDP 
3 网 络 层 网 络 节 点 间 的 路 由 与 数据 分 发 IP、IPSec 
2 数据 链 路 层 可 靠 的 本 地 数据 连接 (LAN) 以 太 网 
1 物理 层 直接 物理 数据 连接 (电缆 ) CATS 
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以 这 种 方式 安排 通信 可 以 清晰 地 划分 概念 : 高 层 的 协议 不 必 担 心 在 底层 实现 的 功能 。 进 一 步 [LI 
说 ， 不 同 层次 的 协议 可 以 加 入 通信 或 者 从 通信 中 删除 ， 一 种 底层 协议 可 以 服务 于 多 种 上 层 协 议 。 
SSL 和 TLS 是 这 一 原则 如 何在 实践 中 运用 的 一 个 重要 示例 。 它 用 于 TCP 协 议 之 上 ， 上 层 协议 
( 如 HTTP ) 之 下 。 当 不 需要 加 密 时 , 可 以 将 TLS 从 模型 中 去 掉 , 这 并 不 会 对 上 层 协议 产生 影响 ( 它 
们 将 直接 与 TCP 协 同 工 作 )。 当 需要 加 密 时 ， 就 可 以 利用 TLS 加 密 HTTP， 以 及 其 他 TCP 协 议 ( 比 
如 SMTP、IMAP 等 )。 


1.3 ”协议 历史 


SSL 协 议 由 Netscape 公 司 开 发 ， 历 史 可 以 追溯 到 Netscape Navigator 浏 览 器 统治 互联 网 的 时 
代 "。 协 议 的 第 一 个 版 本 从 未 发 布 过 ， 第 二 版 则 于 1994 年 11 月 发 布 。 第 一 次 部 署 是 在 Netscape 
Navigator 1.1 浏 览 器 上 ， 发 行 于 1995 年 3 月 。 

SSL2 的 开发 基本 上 没有 与 Netscape 以 外 的 安全 专家 进行 过 商讨 , 所 以 有 严重 的 弱点 , 被 认为 
是 失败 的 协议 , 最 终 退 出 了 历史 的 舞台 。 这 次 失败 使 Netscape 专 注 于 SSL3, 并 于 1995 年 年 底 发 布 。 
虽然 名 称 与 早先 的 协议 版 本 相同 ， 但 SSL 3 是 完全 重新 设计 的 协议 。 该 设计 一 直 沿 用 到 今天 。 

1996 年 5 月 ，TLS 工 作 组 ”成 立 ， 开 始 将 SSL 从 Netscape 迁 移 至 IETF。 由 于 Microsoft 和 Netscape 
当时 正在 为 Web 的 统治 权 争 得 不 可 开交 ， 整 个 迁移 过 程 进 行 得 非常 缓慢 、 艰 难 。 最 终 ，TLS 1.0 
于 1999 年 1 月 问世 ， 见 RFC 2246。 尽 管 与 SSL 3 相 比 ， 版 本 修改 并 不 大 ， 但 是 为 了 取悦 Microsoft， 
协议 还 是 进行 了 更 名 ”。 

直到 2006 年 4 月 ， 下 一 个 版 本 TLS 1.1 才 问世 ， 仅 仅 修复 了 一 些 关键 的 安全 问题 。 然 而 ， 协 议 
的 重要 更 改 是 作为 TLS 扩 展 于 2003 年 6 月 发 布 的 ， 并 被 集成 到 了 协议 中 ， 这 比 大 家 的 预期 早 了 好 
几 年 。 

2008 年 8 月 ，TLS 1.2 发 布 。 该 版 本 添加 了 对 已 验证 加 密 的 支持 ， 并 且 基 本 上 删除 了 协议 说 明 
中 所 有 硬 编码 的 安全 基 元 ， 使 协议 完全 弹性 化 。 

协议 的 下 一 个 版 本 正在 开发 过 程 中 。 该 版 本 预计 会 成 为 一 个 主要 版 本 ， 其 目标 是 简化 设计 ， 
除去 安全 性 较 弱 或 者 不 太 需 要 的 功能 ， 并 且 提 升 性 能 。 各 位 读者 可 以 关注 TLS 工 作 组 邮件 列表 的 


讨论 "。 





























































































































































































































GD 若 想 了 解 更 详细 的 SSL 协 议 早 期 历史 ， 建 议 阅读 Eric Rescorla 的 SSL and TLS: Designing and Building Secure Systems 
( Addison-Wesley 出 版 社 于 2001 年 出 版 )， 第 47~51 页 。 

@TLS 工 作 组 ，https:/datatrackerietf org/wg/tls/documents/ (IETF ， 检 索 于 2014 年 6 月 23 日 )。 

@) Security Standards and Name Changes in the Browser Wars, http://tim.dierks.org/2014/05/security-standards-and-name- 
changes-in.html ( Tim Dierks，2014 年 5 月 23 日 )。 

@ TLS working group mailing list archives ,http:/www.ietf.org/mail-archive/web/tls/current/ ( IETF, 检索 于 2014 年 7 月 19 

)。 
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1.4 ”密码 学 


密码 学 是 一 门 通信 安全 的 科学 , 同时 也 是 一 门 艺术 。 虽 然 我 们 总 是 将 密码 学 与 现代 联系 在 一 
起 ， 但 在 上 千年 以 前 ， 人 们 事实 上 就 已 经 开始 利用 它 的 力量 了 。 考 古 发 现 ， 加 密 工 具 密码 棒 " 首 
次 被 提 及 是 在 公元 前 7 世纪 。 我 们 今天 所 知 的 密码 学 诞生 于 20 世 纪 ， 用 于 军事 领域 ;而 它 现 在 已 
经 成 为 了 我 们 日 常生 活 的 一 部 分 。 

部 署 正确 的 密码 能 解决 安全 的 三 个 核心 需求 : 保持 秘密 ( 机 密 性 )、 验 证 身份 ( 真实 性 )， 以 
及 保证 传输 安全 ( 完整 性 )。 

本 章 剩余 部 分 将 对 一 个 加 密 环境 的 基本 构造 进行 讨论 ， 展示 安全 性 从 何 而 来 。 同样 ,还 会 讨 
论 加 密 体系 通常 是 如 何 受 到 攻击 的 。 密码 学 是 一 个 非常 多 样 化 的 领域 , 并 且 有 非常 深厚 的 数学 基 
础 。 我 会 将 视角 保持 在 很 宽泛 的 层面 上 , 给 大 家 介绍 一 些 基础 知识 , 使 大 家 能 够 看 懂 后 面 的 讨论 。 
如 果 主 题 需要 ， 我 会 在 本 书 的 其 他 部 分 更 详细 地 介绍 密码 学 的 相关 内 容 。 


注意 

如 果 想 花 更 多 时 间 学 习 密 码 学 ,你 可 以 找到 很 多 文献 。 我 最 喜欢 的 一 本 书 是 《深入 浅 
出 密码 学 》( Understanding Cryptography， 作 者 是 Christof Paar 和 Jan Pelzl，2010 年 由 
Springer 出 版 )。 


1.4.1 构建 基 块 


在 最 底层 ， 使 用 密码 加 密 依赖 于 各 种 加 密 基 元 (cryptographic primitive )。 每 种 基 元 都 着 眼 于 
某 个 特定 功能 而 设计 。 比 如 ,我 们 会 使 用 某 个 基 元 加 密 ， 使 用 另外 一 个 基 元 进行 完整 性 检查 。 单 
个 基 元 本 身 的 作用 并 不 大 ， 但 是 我 们 可 以 将 它们 组 合成 方案 ( scheme ) 和 协议 (protocol )， 从 而 
提供 可 靠 的 安全 性 。 
























































Alice 和 Bob 是 谁 ? 
讨论 密码 学 时 ， 我 们 为 了 方便 起 见 ， 通 常会 使 用 Alice 和 Bob 这 两 个 名 字 ?。 他 们 可 以 使 枯 
燥 的 密码 学 命题 变 得 更 加 有 趣 一 些 。 大 家 公认 ，Ron Rivest 在 1977 年 介绍 RSA 密 码 系 统 的 论文 
中 ， 首 次 使 用 了 这 两 个 名 字 ”。 此 后 ， 又 有 其 他 一 些 名 字 进 入 了 密码 学 文化 。 在 这 一 章 中 ,我 
将 一 位 具备 窃听 能 力 的 攻击 者 命名 为 Eve, 并 将 另 一 位 能 够 妨碍 网 络 流量 的 主动 攻击 者 命名 为 
Mallory。 



































GD Scytale，https://en.wikipedia.org/wiki/Scytale ( 维基 百科 ， 检索 于 2014 年 6 月 5 日 )。 

@ Alice and Bob，https://en.wikipedia.org/wiki/Alice_ and_Bob ( 维基 百科 ,检索 于 2014 年 6 月 5 日 )。 

@® Security’s inseparable couple, http://www.networkworld.com/article/2318241/lan-wan/security-s-inseparable-couple.html 
( Network World, 2005 )。 
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1. 对 称 加 密 

对 称 加 密 (symmetric encryption ) 又 称 私 钥 加 密 (private-key cryptography )， 是 一 种 混淆 算 
法 ,能 够 让 数据 在 非 安 全 信道 上 进行 安全 通信 。 为 了 保证 通信 安全 ，Alice 和 Bob 首 先 得 到 双方 都 
认可 的 加 密 算法 和 密 钥 。 当 Alice 需 要 向 Bob 发 送 数 据 时 ， 她 使 用 这 个 密 钥 加 密 数据 。Bob 使 用 相 
同 的 密 钥 解密 。Eve 能 够 访问 信道 ， 所 以 可 以 看 到 加 密 数据 ; 但 因为 没有 密 钥 ， 所 以 看 不 到 原始 
数据 。Alice 和 Bob 只 要 能 保证 密 钥 安全 ， 就 能 一 直 安 全 地 通信 ， 如 图 1-1 所 示 。 





















































原始 文档 密 文档 原始 文档 

















图 1-1 对 称 加 密 

注意 

讨论 加 密 时 通常 会 使 用 到 三 个 术语 : 明文 (plaintext， 即 原始 数据 )、 密 钥 〈 cipher， 
用 于 加 密 ) 和 密 文 ( ciphertext， 即 加 密 后 的 数据 )。 


对 称 加 密 可 以 追溯 到 上 千年 以 前 。 比 如 , 加 密 时 将 字母 表 中 的 每 个 字母 蔚 换 成 其 他 字母 ， 解 
密 时 反 向 操作 ， 这 就 是 代替 密码 加 密 。 在 这 个 例子 中 , 不 存在 密 钥 ; 安全 性 取决 于 保守 加 密 方法 
的 秘密 。 那 就 是 最 早 的 算法 的 例子 。 随 着 时 间 的 流逝 ,我 们 采用 了 另 一 种 方法 。 它 是 依照 19 世 纪 
的 一 位 密码 破解 专家 Auguste Kerckhoffs 的 观察 结果 发 展 而 来 的 ?。 
即使 攻击 者 知晓 了 整个 密码 系统 除 密 钥 以 外 的 所 有 情报 ， 系 统 仍 然 应 当 能 保证 安全 。 


Kerckhoffs 的 原则 初 看 起 来 有 些 奇怪 ， 但 如 果 继 续 深刻 思考 ， 就 会 觉得 有 道理 ， 原 因 如 下 。 
口 如 果 一 种 加 密 算法 要 得 到 广泛 使 用 ， 就 必须 让 其 他 人 知道 。 当 越 来 越 多 的 人 接触 到 这 个 
算法 ， 那 么 敌人 得 到 这 个 算法 的 可 能 性 也 会 增加 。 

口 没有 密 钥 的 简单 算法 非常 不 便于 在 大 群体 中 使 用 ; 每 个 人 都 可 以 解密 所 有 人 的 通信 。 

口 设计 出 优秀 的 加 密 算法 非常 困难 。 一 种 算法 想 要 更 安全 ， 就 得 经 过 更 多 的 曝光 和 审视 。 
当 需 要 采用 一 种 新 算法 时 ， 密 码 学 家 推荐 使 用 保守 的 方法 来 确定 算法 是 否 安全 ， 那 就 是 
算法 需要 经 过 许多 年 的 破解 尝试 。 

优秀 的 加 密 算法 需要 产 出 表面 上 看 来 随机 的 密 文 , 这 样 攻击 者 就 无 法 分 析 得 出 任何 关于 明文 






















































































QD la cryptographie militaire ，http:/petitcolas.netkerckhoffs/ ( Fabien Petitcolas ， 检 索 于 2014 年 6 月 1 日 )。 
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的 信息 。 比 如 ， 替 换 密码 就 不 是 一 种 好 算法 ， 因 为 攻击 者 可 以 确定 密 文 中 各 个 字母 的 使 用 频率 ， 
并 将 其 与 英语 中 的 字母 使 用 频率 进行 对 比 。 因 为 某 些 字 母 比 其 他 字母 使 用 得 更 频繁 , 攻击 者 可 以 
利用 这 个 结果 恢复 明文 。 如 果 加 密 算 法 优秀 ,攻击 者 只 有 一 种 方法 , 那 就 是 尝试 所 有 可 能 的 解码 
密 钥 ， 俗 称 穷 举 密 钥 搜索 ( exhaustive key search )。 

基于 这 一 点 , 我 们 可 以 说 密 文 的 安全 性 完全 取决 于 密 钥 。 如 果 密 钥 是 从 某 个 非常 大 的 密 钥 空 
间 中 选取 出 来 的 ,那么 破解 也 需要 遍历 所 有 这 些 可 能 的 密 钥 ， 其 数量 极 大 ， 几 乎 不 可 能 。 我 们 可 
以 说 这 种 算法 在 计算 上 是 安全 性 的 。 


注意 
通常 我 们 通过 密 钥 长 度 来 衡量 加 密 强 度 ; 有 一 个 假设 是 ， 密 钥 本 质 上 是 随机 的 ， 所 以 
密 钥 空间 才 可 以 由 密 钥 的 位 数 来 定义 。 比 如 ， 某 个 128 位 的 密 钥 (被 认为 非常 安全 ) 
有 34x103" 种 可 能 的 组 合 。 
密码 可 以 分 为 两 大 类 : 序列 密码 和 分 组 密码 。 
@ 序列 密码 
从 概念 上 讲 ， 序列 密码 (stream cipher ) 的 操作 过 程 与 我 们 想象 中 加 密 的 过 程 一 致 。 将 1 字 节 
的 明文 输入 加 密 算法 ， 就 得 到 1 字 节 的 密 文 输出 。 在 对 端 则 进行 相反 的 过 程 。 整 个 过 程 持续 重复 ， 
直到 所 有 数据 处 理 完 成 。 
序列 密码 的 核心 是 生成 一 串 称 为 密 钥 序列 (keystream ) 的 无 穷 序 列 ， 看 似 杂 乱 无 章 。 加 密 就 
是 将 密 钥 序列 中 的 1 字 节 与 明文 序列 中 的 1 字 节 进行 异 或 操作 。 因 为 异 或 操作 是 可 逆 的 , 所 以 解密 
就 是 将 密 文 序列 中 的 1 字 节 与 密 钥 序列 中 的 相同 字 节 进行 异 或 操作 。 这 个 过 程 在 图 1-2 中 描述 。 





































































































密 钥 一 >» 一 一 > [1 |o |1 | | 密 钢 库 列 
由 


加 本 国 园 
lolo| 


图 1-2 ”RC4 加 密 


只 要 攻击 者 无 法 预测 密 钥 序列 中 对 应 位 置 的 字 节 ,就 可 以 认为 加 密 过 程 是 安全 的 。 基 于 这 个 
理由 , 序列 密码 绝 不 能 第 二 次 使 用 相同 的 密 钥 ， 这 一 点 非常 关键 。 这 是 因为 在 实际 使 用 中 ,攻击 
者 知道 或 者 可 以 预测 特定 区 域 的 明文 〈 请 思考 加 密 HITP 请 求 的 情景 ;许多 请 求 的 请 求 方法 、 协 
议 版 本 、 请 求 头 名 称 都 是 一 样 的 )。 当 你 知道 明文 ， 又 观察 到 密 文 时 ， 就 可 以 解析 一 部 分 密 钥 序 
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列 。 如 果 使 用 了 相同 的 密 钥 , 那么 就 可 以 解密 后 续 的 部 分 密 文 。 为 了 解决 这 个 问题 ,序列 密码 都 
与 从 长 期 密 钥 中 提取 出 来 的 一 次 性 密 钥 一 同 使 用 。 

RC4 是 最 为 人 熟知 的 序列 密码 "。 因 为 它 很 快 很 简单 ， 所 以 一 度 非 常 流行 。 但 是 它 已 经 不 再 
安全 。 我 将 在 7.$ 节 中 讨论 它 的 弱点 。 其 他 现代 的 安全 序列 密码 则 由 ECRYPT Stream Cipher Project” 
进行 推进 。 

@ 分 组 密码 

分 组 密码 ( block cipher ) 每 次 加 密 一 整 块 数据 ， 并 且 现 代 的 分 组 密码 倾向 于 使 用 128 位 ( 16 
字 节 ) 大 小 的 块 。 一 种 分 组 密码 就 是 一 个 变换 函数 : 接受 输入 并 生成 看 似 杂 乱 无 章 的 输出 。 只 要 
使 用 相同 的 密 钥 , 每 一 个 可 能 的 输入 组 合 都 有 唯一 的 输出 。 分 组 密码 的 关键 特性 是 在 输入 上 制造 
一 个 小 变化 ( 比如 ， 在 任意 一 处 变换 1 位 )， 从 而 得 到 大 量 输出 变 体 。 

分 组 密码 本 身 不 是 非常 有 用 ， 因 为 它们 自身 有 一 些 限制 。 第 一 个 问题 是 ， 只 能 使 用 它们 加 密 
长 度 等 于 加 密 块 大 小 的 数据 。 因 此 在 实际 使 用 分 组 算法 时 ， 需 要 一 个 方法 处 理 任意 长 度 的 数据 。 
男 一 个 问题 是 , 分 组 密码 是 确定 的 。 对 于 相同 的 输入 , 输出 也 是 相同 的 。 这 个 特性 会 使 许多 攻击 
成 为 可 能 ， 需 要 解决 。 

实践 中 ， 人 们 通过 称 为 分 组 密码 模式 (block cipher mode ) 的 加 密 方案 来 使 用 分 组 密码 。 这 
种 方案 能 规避 这 些 限制 , 有 时 还 可 以 添加 身份 验证 。 分 组 密码 也 可 以 作为 其 他 加 密 基 元 的 基础 来 
使 用 ， 诸 如 散 列 函数 、 消 息 验 证 代码 、 伪 随机 数 生 成 避 ， 甚 至 序列 密码 。 

世界 上 最 流行 的 分 组 密码 是 高 级 加 密 标 准 (advanced encryption standard，AES )“， 可 以 使 
用 128 位 、192 位 和 256 位 的 加 密 强度 。 

@ 填充 

分 组 密码 的 挑战 之 一 是 处 理 数据 长 度 小 于 加 密 块 大 小 的 数据 加 密 。 举 个 例子 ，128 位 的 AES 

需要 16 字 市 的 输入 数据 并 且 产 出 相同 长 度 的 输出 。 如 果 你 的 数据 刚好 能 归 入 16 字 节 的 块 中 , 那 正 
好 。 但 如 果 不 足 16 字 节 ， 怎么 办 ? 一 种 方法 是 追加 额外 的 数据 到 明文 的 尾部 。 这 些 额外 的 数据 就 
被 称 为 填充 (padding )。 
真 充 不 能 由 任何 随机 数据 构成 , 它 必 须 遵 循 某 种 格式 , 这样 接收 方才 可 以 发 现 填充 并 了 解 需 
要 丢弃 多 少 字 节 。 在 TLS 中 ， 加 密 块 的 最 后 1 字 节 包含 填充 长 度 ， 指 示 填 充 有 多 少 字 节 (不 包含 
填充 长 度 字 节 )。 填 充 的 每 字 节 都 被 设置 成 与 填充 长 度 字 节 相 同 的 值 ， 如 图 1-3 所 示 。 这 种 方式 使 
得 接收 方 能 够 检查 填充 是 否 正确 。 

为 了 在 解密 后 丢弃 填充 ， 接 收 方 检查 数据 块 的 最 后 1 字 节 ， 删 除 它 。 接 着 ， 接 收 方 市 除 指定 
长 度 的 字 节 数 ， 同 时 检查 它们 是 否 都 是 相同 的 值 。 
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GD RC4，https://en.wikipedia.org/wiki/RC4 ( 维基 百科 ,检索 于 2014 年 6 月 1 日 )。 

© eSTREAM: the ECRYPT Stream Cipher Project, http:/www.ecrypt.eu.org/stream/ ( European Network of Excellence in 
Cryptology I， 检 索 于 2014 年 6 月 1 日 )。 

@) Advanced Encryption Standard，https:/en.wikipedia.org/wiki/Advanced Encryption_Standard ( 维基 百科 , 检索 于 2014 

年 6 月 1 日 )。 
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2. pa 


散 列 函 孝 


图 1-3 _TLS 填 充 示 例 





慷 〈《hash function ) 是 将 任意 长 度 的 输入 转化 为 定 长 输出 的 算法 。 散 列 函数 的 结果 经 


常 被 简称 为 散 列 ( hash )。 编 程 中 普遍 使 用 散 列 函数 ,但 并 非 所 有 散 列 函数 都 适用 于 密码 学 。 密 
码 学 散 列 函数 有 以 下 几 个 额外 特性 。 


口 


口 





散 列 函数 最 常 


口 抗原 像 性 〈 单 向 性 ) 


给 定 一 个 散 列 ， 计 算 上 无 法 找到 或 者 构造 出 生成 它 的 消息 。 
抗 第 二 原 像 性 ( 弱 抗 碰撞 性 ) 


给 定 一 条 消息 和 它 的 散 列 ， 计 算 上 无 法 找到 一 条 


强 抗 碰撞 性 
计算 上 无 法 找到 两 条 


用 的 使 用 场合 是 








散 列 相同 的 消息 。 


不 同 的 消息 具有 相同 的 散 列 。 


以 紧凑 的 方式 表示 并 比较 大 量 数据 。 比 如 , 为 了 避免 直接 比较 





两 个 文件 ( 可 能 很 难 ， 比 方 说 ， 它 们 存放 于 世界 上 不 同 的 位 置 )， 你 可 以 比较 它们 的 散 列 。 散 列 
函数 经 常 被 称 为 指纹 、 消 息 摘 要 ， 或 者 简单 称 为 摘要 。 


现在 使 月 








日 最 为 广泛 的 散 列 函 数 是 SHA1， 








升级 为 SHA256 的 变种 。 与 密码 不 同 ， 散 列 函 数 的 强度 并 不 与 散 列 长 度 对 等 


率 论 中 的 常见 问题 ) ” 


3. 消息 验证 代码 


散 列 函数 可 以 用 于 验证 数据 完整 
否则 攻击 者 可 以 同时 修改 数据 和 散 列 ， 


， 散 列 函 数 的 强度 最 多 只 是 散 列 长 度 的 一 半 。 














它 的 输出 是 160 位 。 因 为 SHA1 已 经 变 弱 ， 所 以 建议 
。 因 为 生日 悖 论 ( 概 


性 ， 但 仅 在 数据 的 散 列 与 数据 本 身分 开 传输 的 条 件 下 如 此 。 
从 而 轻易 地 避 开 检测 。 消 息 验 证 代码 (message 


authentication code，MAC ) 或 者 使 用 密 钥 的 散 列 (keyed-hash ) 是 以 身份 验证 扩展 了 散 列 函数 的 
密码 学 函数 。 只 有 拥有 散 列 密 钥 ， 才 能 生成 合法 的 MAC。 


MAC 通 常 与 加 密 一 起 使 用 。 如 果 没 有 MAC， 即 使 Mallory 无 法 解码 密 文 ， 她 


的 数据 ; 加 密 提供 了 机 密 怕 


使 Bob 接 受 并 相信 伪造 的 消息 。 
息 并 未 遭 到 自 改 。 


确认 消 























电能 修改 传输 中 


但 无 法 确保 完整 性 。 如 果 Mallory 聪 明 到 可 以 修改 密 文 ， 她 就 可 以 诱 
































当 MAC 和 密 文 一 起 发 送 时 ，( 和 Alice 共 享 散 列 密 钥 的 ) Bob 就 能 


任何 散 列 函数 都 能 用 作 MAC 的 基础 ， 男 一 个 基础 是 基于 散 列 的 消息 验证 代码 (hash-based 





QD Birthday problem ，https://en.wikipedia.org/wiki/Birthday_problem ( 维基 百科 ， 检 索 卫 
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message authentication code，HMAC ) ”"。HMAC 本 质 就 是 将 散 列 密 钥 和 消息 以 一 种 安全 的 方式 交 
织 在 一 起 。 

4. 分 组 密码 模式 

分 组 密码 模式 是 为 了 加 密 任意 长 度 的 数据 而 设计 的 密码 学 方案 , 是 对 分 组 密码 的 扩展 。 所 有 
分 组 密码 模式 都 支持 机 密 性 , 不 过 有 些 将 其 与 身份 验证 联系 起 来 。 一 些 模式 会 将 分 组 密码 转换 成 
序列 密码 。 

它 有 许多 输出 模式 ， 通 党 以 首 字 母 缩 写 来 引用 : ECB、CBC、CFB、OFB、CTR、GCM, 诸 
如 此 类 (不 用 担心 这 些 缩写 都 代表 什么 )。 我 在 这 里 只 会 介绍 ECB 和 CBC: ECB 是 设计 一 种 分 组 
加 密 模 式 的 反面 例子 ， 而 CBC 则 仍 是 SSL 和 TLS 的 主要 模式 。GCM 是 TLS 中 相对 较 新 的 模式 ， 从 
1.2 版 本 开始 才能 使 用 。 它 提供 了 机 密 性 和 完整 性 ， 是 当前 可 用 的 最 好 模式 。 

@ 电码 本 模式 

电码 本 (electronic codebook，ECB ) 模式 是 最 简单 的 分 组 密码 模式 。 它 只 支持 数据 长 度 正好 
是 块 大 小 的 整数 倍 的 情况 ,如 果 数 据 长 度 不 满足 这 个 条 件 ， 就 得 事先 实施 填充 。 加 密 就 是 将 数据 
按 块 大 小 切 分 ， 再 分 别 加 密 每 一 块 。 

ECB 的 简单 就 是 它 的 劣势 。 因 为 分 组 密码 是 确定 的 〈 输 入 相同 ， 输 出 也 相同 )， 所 以 ECB 也 
是 如 此 。 这 就 造成 了 严重 的 负面 结果 : (1) 密 文中 出 现 的 模式 显示 出 明文 中 对 应 出 现 的 模式 ; (2) 攻 
击 者 可 以 发 现 信息 是 否 重复 ; (3) 攻击 者 可 以 观察 密 文 并 且 提 交 任 意 明 文 加 密 (在 HTTP 中 通常 是 
可 能 的 ， 在 一 些 其 他 情况 下 也 可 以 )， 如 此 尝试 足够 的 次 数 ， 就 能 猜 出 明文 。 这 就 是 针对 TLS 的 
BEAST 攻 击 的 大 致 思路 ，7.2 节 会 继续 讨论 。 

@ 加 密 块 链接 模式 

加 密 块 链接 (cipher block chaining，CBC ) 模式 是 从 ECB 发 展 而 来 的 下 一 步 。 为 了 解决 ECB 
天 生 的 确定 性 ，CBC 引 入 了 初始 向 量 (initialization vector，IV ) 的 概念 。 即 使 输入 相同 ，IV 也 可 
以 使 每 次 的 输出 都 不 相同 ， 如 图 1-4 所 示 。 

整个 过 程 开 始 于 生成 一 个 随机 IV (因此 不 可 预测 )， 长 度 与 加 密 块 相等 。 加 密 前 ， 明 文 第 一 
块 内 容 与 IV 进 行 异 或 操作 。 这 一 步 对 明文 进行 了 掩饰 ,并 保证 密 文 总 是 不 尽 相 同 。 对 于 下 一 个 加 
密 块 , 使 用 上 一 块 的 密 文 作为 IYV， 以 此 类 推 。 这 样 一 来 ， 每 次 加 密 操 作 都 是 同一 个 加 密 链 条 中 的 
一 部 分 , 这 也 是 这 种 模式 名 称 的 由 来 。 至 关 重 要 的 是 , IV 必 须 通 过 线路 传送 到 接收 端 ,这 个 信息 
是 成 功 解 密 所 必需 的 。 

5. 非 对 称 加 密 

对 称 加 密 在 高 速 处 理 大 量 数据 方面 做 得 非常 好 , 然而 随 着 使 用 它 的 团体 增加 , 产生 了 更 多 的 
需求 ， 使 得 对 称 加 密 无 法 满足 。 

口 相同 团体 的 成 员 必 须 共享 相同 的 密 钥 。 越 多 人 加 入 ， 团 体 密 钥 出 现 问 题 的 次 数 就 越 多 。 
口 为 了 更 好 的 安全 性 ， 你 可 以 在 每 两 个 人 之 间 使 用 不 同 的 密 钥 ， 但 是 这 个 方法 不 可 扩展 。 

















































































































































































































QD RFC 2104: HMAC: Keyed-Hashing for Message Authentication, http://tools.ietf.org/html/rfc2104 ( Krawczyk 等 ，1997 
年 2 月 )。 
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虽然 3 个 人 只 需要 3 个 密 钥 , 但 10 个 人 就 需要 45( 9+8+…+1 ) 个 密 钥 ， 而 1000 个 人 需要 
499 500 个 密 钥 ! 

口 对 称 加密 不 能 用 于 访问 安全 数据 的 无 人 系统 。 因 为 使 用 相同 的 密 钥 可 以 反 转 整个 过 程 ， 
这 样 的 系统 出 现任 何 问题 都 会 影响 到 存储 在 系统 中 的 所 有 数据 。 



































图 1-4 _CBC 模 式 加 密 











非 对 称 加 密 (asymmetric encryption ) 又 称 为 公 钥 加 密 〈public key cryptography )， 它 是 另 一 
种 方法 ,使 用 两 个 密 钥 ， 而 不 是 一 个 ; 其 中 一 个 密 钥 是 私密 的 ， 另 一 个 是 公开 的 。 顾 名 思 义 ， 

个 密 钥 用 于 私人 ,， 另 一 个 密 钥 将 会 被 所 有 人 共享 。 这 两 个 密 钥 之 间 存 在 一 些 特殊 的 数学 关系 , 使 
得 密 钥 具 备 一 些 有 用 的 特性 。 如 果 你 利用 某 人 的 公 钥 加 密 数据 , 那么 只 有 他 们 对 应 的 私 钥 能 够 解 
密 ， 如 图 1-5 所 示 。 从 另 一 个 方面 讲 ， 如 果 某 人 用 私 钥 加 密 数 据 ， 任 何人 都 可 以 利用 对 应 的 公 铀 
解 开 消息 。 后 面 这 种 操作 不 提供 机 密 性 ， 但 可 以 用 作 数 字 签名 。 
















































































Alice 的 公 和 钥 Alice 的 私 钥 





原始 文档 


加 密 的 文档 原始 文档 











Bob Alice 











图 1-5” 非 对 称 加 密 
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非 对 称 加 密使 得 大 规模 团体 的 安全 通信 大 幅 简化 。 假 设 你 可 以 广泛 并 且 安全 地 分 享 你 的 公 铀 
( PKI 的 工作 将 会 在 第 3 章 中 进行 讨论 ), 那么 任何 人 都 可 以 向 你 发 送 消 息 , 只 有 你 可 以 阅读 。 如 果 
他 们 使 用 各 自 的 私 钥 签名 ， 你 还 可 以 精确 地 知道 消息 出 自 何 人 之 手 。 

虽然 公 钥 密码 的 属性 非常 有 趣 , 但 它 却 非常 缓慢 ,不 适用 于 数据 量 大 的 场景 。 因 此 ， 它 往往 
被 部 署 于 进行 身份 验证 和 共享 秘密 的 协商 ， 这 些 秘密 后 续 将 用 于 快速 的 对 称 加 密 。 

RSA (得 名 于 三 个 人 的 姓氏 首 字母 : Ron Rivest、Adi Shamir 和 Leonard Adleman ) 是 目前 最 
普遍 部 署 的 非 对 称 加 密 算 法 "。 现 在 推荐 的 RSA 强 度 是 2048 位 ， 强 度 等 同 于 112 位 的 对 称 密 钥 。 我 
将 会 在 本 章 稍 后 更 加 详细 地 讨论 密码 强度 。 

6. 数字 签名 

数字 签名 ( digital signature ) 是 一 个 密码 学 方案 。 它 使 得 验证 一 条 电子 消息 或 者 一 篇 电子 文 
档 的 真实 性 成 为 可 能 。 前 面 描述 的 MAC 就 是 一 种 电子 签名 ， 它 可 以 利用 事先 安全 交换 的 散 列 密 
钥 验证 真实 性 。 虽 然 这 种 校 验 非 常 有 用 ， 但 仍 有 不 足 ， 因 为 它 仍 然 依赖 于 一 个 私有 密 钥 。 
借助 公 钥 密码 , 数字 签名 可 以 与 现实 生活 中 的 手写 签名 类 似 。 我 们 可 以 利用 公 钥 密码 的 非 对 
称 性 设计 出 一 种 算法 ， 使 用 私 钥 对 消息 进行 签名 ， 并 使 用 对 应 的 公 钥 验证 它 。 

实际 的 方式 依照 选择 的 公 钥 密码 体系 而 有 所 不 同 。 下 面 以 RSA 为 例 。RSA 可 以 用 于 加 密 ， 也 
可 以 用 于 解密 。 如 果 使 用 RSA 私 钥 加 密 , 那么 仅 能 通过 对 应 的 公 钥 解密 。 我 们 可 以 利用 这 个 性 质 ， 
并 且 结 合 散 列 函数 ， 实 现 数字 签名 。 

(1) 计算 希望 签名 的 文档 的 散 列 。 不 论 输入 文档 的 长 度 如 何 ， 输 出 长 度 总 是 固定 的 。 比 如 ， 
使 用 SHA256 就 是 256 位 。 

(2) 对 结果 散 列 和 一 些 额 外 的 元 数据 进行 编码 。 比 如 ， 接 收 方 需要 知道 你 使 用 的 散 列 算法 ， 
否则 不 能 处 理 签名 。 

(3) 使 用 私 钥 加 密 编 码 过 的 数据 ， 其 结果 就 是 签名 ， 可 以 追加 到 文档 中 作为 身份 验证 的 依据 。 

为 了 验证 签名 ,接收 方 接收 文档 并 使 用 相同 的 散 列 算法 独立 计算 文档 散 列 。 接 着 ,她 使 用 公 
钥 对 消息 进行 解密 ,将 散 列 解码 出 来 ,再 确认 使 用 的 散 列 算法 是 否 正确 , 解密 出 的 散 列 是 否 与 本 
地 计算 的 相同 。 这 个 方案 的 强度 取决 于 加 密 、 散 列 以 及 编码 组 件 各 自 的 强度 。 


注意 

并 非 所 有 的 数字 签名 算法 都 与 RSA 的 工作 方式 一 致 。 事 实 上 ， RSA 是 一 个 特例 ， 因 为 
它 可 以 同时 用 于 加 密 和 数字 签名 。 其 他 流行 的 公 负 密码 算法 则 不 能 用 于 加 密 ， 比 如 
DSA 和 ECDSA， 它 们 依赖 其 他 方式 进行 签名 。 


7. 随机 数 生成 

在 密码 学 中 , 所 有 的 安全 性 都 依赖 于 生成 随机 数 的 质量 。 在 本 章 中 , 你 已 经 看 到 ， 安 全 性 构 
建 于 已 知 的 算法 和 未 知 的 密 钥 之 上 ; 而 密 钥 最 简单 的 形式 就 是 非常 长 的 随机 数 。 

之 所 以 说 随机 数 不 易 生成 ,是 因为 计算 机 是 十 分 善于 预测 的 ,它们 会 严格 按照 指令 执行 。 如 




























































































































































































QD RSA，https://en.wikipedia.org/wiki/RSA _%28cryptosystem%29( 维基 百科 ， 检 索 于 2014 年 6 月 2 日 )。 
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果 告 诉 它 生 成 一 个 随机 数 ， 它 很 可 能 做 不 好 这 项 工作 "。 真 正 的 随机 数 只 能 通过 观测 特定 的 物理 
处 理 器 才能 得 到 。 没 有 的 话 ， 计 算 机 将 关注 于 收集 少量 的 炳 (entropy )。 这 通常 意味 着 监视 按键 
状态 、 鼠 标 移动 ， 以 及 各 种 外 设 ( 比如 硬盘 ) 的 交互 情况 。 

通过 这 种 方式 收集 是 一 种 真 随机 数 生 成 器 ( true random number generator，TRNG ), 但 是 
直接 使 用 这 种 方式 并 不 足够 可 靠 。 打 个 比方 , 你 可 能 需要 生成 一 个 4096 位 的 密 钥 , 但 是 系统 可 能 
只 有 数 百 位 的 彤 可 用 。 如 果 没 有 可 靠 的 外 部 事件 可 以 收集 到 足够 的 峭 ， 系 统 就 可 能 会 停止。 

基于 上 面 的 原因 ， 我 们 在 实际 使 用 中 依靠 的 是 伪 随 机 数 生成 器 (pseudorandom number 
generator，PRNG )。 当 然 , PRNG 也 要 利用 少量 真正 的 随机 数 使 系统 运转 起 来 。 这 个 过 程 被 称 为 
种 子 设 定 ( seeding )。 利用 种 子 , PRNG 根 据 需 要 构造 出 无 限 数 量 的 伪 随 机 数 。 普 通用 途 的 PRNG 
被 常常 用 于 编程 ， 但 它们 并 不 适用 于 密码 学 ， 尽 管 其 输出 看 起 来 就 是 随机 的 。 加 密 安 全 伪 随 机 
数 生 成 器 ( cryptographically secure pseudorandom number generator ，CPRNG ) 是 不 可 预测 的 
PRNG。 这 个 性 质 对 安全 来 说 非常 关键 ,一 定 不 能 让 攻击 者 对 观察 到 的 CPRNG 输 出 进行 内 部 状 
态 的 逆向 工程 。 






















































































1.4.2 协议 


加 密 基 元 本 身 其 实 没什么 用 ,诸如 加 密 和 散 列 算法 。 我 们 只 有 将 这 些 元 素 组 合成 方案 和 协议 ， 
才能 满足 复杂 的 安全 需求 。 为 了 说 明 我 们 需要 怎么 做 ， 先 来 看 一 个 简化 的 密码 协议 ， 这 个 协议 可 
以 使 Alice 和 Bob 安 全 地 通信 。 我 们 的 目标 是 全 部 三 个 重要 需求 : 机 密 性 、 完 整 性 和 真实 性 。 

我 们 假设 协议 允许 交换 任意 数量 的 消息 。 因 为 对 称 加 密 擅长 对 大 量 数据 进行 加 密 , 所 以 选取 
我 们 最 喜欢 的 AES 算 法 来 进行 数据 加 密 。 使 用 AES，Alice 和 Bob 可 以 安全 地 交换 消息 ，Mallory 看 
不 到 他 们 通信 的 内 容 。 但 是 这 还 不 够 ， 因 为 Mallory 还 可 以 干 其 他 事情 ， 比 如 ， 神 不 知 鬼 不 觉 地 
修改 消息 。 为 了 解决 这 个 问题 ， 我 们 使 用 只 有 Alice 和 Bob 知 道 的 散 列 密 钥 计 算 每 个 消息 的 MAC。 
在 发 送 消 息 的 同时 ， 也 发 送 消息 的 MAC。 

现在 ，Mallory 再 也 不 能 修改 消息 了 。 然 而 ， 她 仍然 可 以 丢弃 或 者 重 发 任意 消息 。 为 了 解决 
这 个 问题 ， 我 们 扩展 协议 ,为 每 条 消息 指定 序号 。 最 为 重要 的 是 ， 我 们 将 序号 作为 MAC 计 算数 
据 的 一 部 分 。 如 果 发 现 序 号 出 现 空缺 ,就 能 知道 消息 丢 了 。 如 果 我 们 发 现 序 号 出 现 重复 ,就 检测 
重 放 攻 击 。 为 了 得 到 最 佳 结果 ， 我 们 应 使 用 某 个 特殊 消息 来 标记 会 话 结束 。 如 果 没 有 这 个 消息 ， 
Mallory 能 够 悄悄 地 结束 (截断 ) 会 话 。 

如 果 所 有 措施 都 已 到 位 , Mallory 最 多 只 能 做 到 阻止 Alice 和 Bob 与 其 他 人 进行 通信 。 我 们 对 此 
无 能 为 力 。 

到 目前 为 止 , 一 切 都 好 ,但 是 我 们 仍然 有 一 大 块 缺 失 : Alice 和 Bob 如 何 协 商 得 到 需要 的 两 个 
密 钥 (一 个 用 于 加 密 ， 一 个 用 于 完整 性 验证 )， 同 时 还 要 当心 Mallory? 我们 通过 为 协议 增加 两 个 
额外 的 步 又 来 解决 这 个 问题 。 





















































































































































一些 新 型 处 理 器 内 建 了 适 于 加 密使 用 的 随机 数 产生 器 。 也 有 一 些 专业 外 设 〈 比 如， 以 内 存盘 的 形式 ) 可 以 为 操作 
系统 提供 额外 的 灶 。 























首先 , 在 会 话 的 开始 , 我 们 使 用 公 钥 密码 对 会 话 双 方 进行 身份 验证 。 举 个 例子 ，Alice 生 成 一 
个 随机 数 ， 并 要 求 Bob 对 其 签名 以 证 明 真 的 是 他 。Bob 也 要 求 Alice 做 相同 的 事情 。 

除了 身份 验证 之 外 ， 我 们 还 可 以 使 用 密 钥 交 换 方案 对 加 密 密 钥 进行 秘密 协商 。 继 续 举 例 ， 
Alice 可 以 生成 所 有 密 钥 ， 用 Bob 的 公 钥 加 密 ， 再 发 送 给 Bob， 这 就 是 RSA 密 钥 交换 的 工作 方式 。 
我 们 也 可 以 使 用 Diffie-Hellman( DH ) 密 钥 交换 协议 作为 替代 。 后 者 相对 速度 更 慢 ， 但 提供 了 更 
多 的 安全 特性 。 

最 后 ， 我 们 的 协议 完工 时 的 状态 是 : (1) 以 握手 阶段 开始 ， 包 括 身份 验证 和 密 钥 交换 ; (2) 接 
下 来 是 数据 交换 阶段 ， 保 证 机 密 性 和 完整 性 ; (3) 以 关闭 序列 结束 。 站 在 宏观 的 角度 来 看 ， 我 们 
的 协议 与 SSL 和 TLS 完 成 的 工作 相似 。 
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1.4.3 ”攻击 密码 


复杂 系统 往往 会 受到 多 种 方式 的 攻击 ， 密 码 系统 也 不 例外 。 首 先 ， 你 可 以 攻击 加 密 基 元 本 身 。 
[ 果 密 钥 很 短 , 攻击 者 可 以 暴力 破解 。 这 种 攻击 通常 需要 相当 多 的 运算 能 力 和 时 间 。 对 攻击 者 来 说 ， 
[ 果 系 统 使 用 的 基 元 存在 已 知 缺 陷 ， 他 就 可 以 使 用 解析 攻击 ， 从 而 更 简单 、 更 快 地 达成 攻击 目标 。 
人 们 一 般 都 能 很 好 地 理解 加 密 基 元 ， 因 为 它们 相对 直接 ,并 且 只 完成 一 件 工作 。 整 体 方案 往 
往 更 容易 遭受 攻击 ， 因 为 它们 引入 了 额外 的 复杂 性 。 在 某 些 场 景 下 ， 即 使 是 密码 学 家 也 会 争论 执 
行 特定 操作 的 正确 方法 ; 但 不 论 是 基 元 还 是 方案 , 都 比 协议 更 安全 。 因 为 协议 引入 了 更 多 的 复杂 
性 ， 并 且 攻 击 界面 也 大 得 多 。 
此 外 , 也 存在 针对 协议 实现 (implementation ) 的 攻击 ; 换言之 , 就 是 利用 软件 的 bug。 比 如 ， 
绝 大 多 数 密 码 库 都 使 用 C 甚 至 汇编 这 样 的 低级 语言 编写 ( 出 于 性 能 的 原因 ), 非常 容易 引入 灾难 性 
的 编程 错误 。 即 便 没 有 这 些 bug， 要 实现 基 元 、 方 案 和 协议 ,保证 它们 不 被 滥用 ， 也 需要 很 高 的 
技巧 。 举 个 例子 ， 某 些 算法 的 本 地 实现 可 以 被 计时 攻击 (timing attack ) 所 利用 ,攻击 者 可 以 通 
过 观察 特定 操作 执行 的 时 间 破 解 加 密 。 
有 一 种 现象 也 非常 普遍 , 那 就 是 没有 密码 经 验 的 程序 员 企图 实现 
案 ， 理 所 应 当地 造成 了 不 安全 的 结果 。 
所 以 , 我 们 通常 会 说 加 密 被 绕 过 ， 而 不 是 被 攻击 。 这 人 句 话 意味 着 使 用 的 基 元 都 很 坚实 , 但 软 
件 体系 不 牢固 。 再 进一步 说 , 密 钥 是 非常 诱 人 的 攻击 目标 : 如 果 我 们 可 以 更 轻松 地 癌 进 服务 器 拿 
到 密 钥 , 为 什么 还 要 花费 数 月 时 间 暴 力 破解 它 ” 许 多 失败 的 加 密 案例 都 可 以 参照 下 面 的 简单 规则 
避免 : (1) 使 用 完善 的 协议 ， 不 要 自己 设计 ; (2) 使 用 高 级 库 ， 避 免 直接 操作 加 密 ; (3) 使 用 完备 
的 基 元 ， 辅 以 足够 强壮 的 密 钥 长 度 。 
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甚至 设计 ) 加 密 协 议和 方 













































































1.4.4 衡量 强度 


我 们 使 用 攻破 某 个 基 元 所 需 执行 的 操作 数量 衡量 密码 系统 的 强度 ,以 安全 位 数 来 表示 。 最 容 
易 做 到 的 符合 正确 部 署 的 行为 就 是 部 署 长 度 足 够 强 的 密码 , 而 且 规 则 很 简单 : 大 部 分 系统 部 署 128 
位 (2 次 操作 ) 就 足够 了 ; 如 果 需 要 长 期 的 安全 或 者 较 大 的 安全 宽 限 期 ， 则 使 用 256 位 。 
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注意 
| 对 称 密码 系统 的 强度 按 位 数 增加 以 几何 基数 增长 , 这 意味 着 密码 增加 1 位 , 强度 翻 一 倍 。 


实际 使 用 的 情况 更 复杂 一 些 ， 因 为 并 非 所 有 操作 的 安全 性 都 能 同等 度量 。 所以, 对 于 对 称 加 
密 的 操作 、 非 对 称 加 密 的 操作 、 椭 圆 曲 线 加 密 算 法 以 及 其 他 操作 ,我 们 使 用 不 同 的 位 数 。 你 可 以 


使 用 表 1-2 中 的 信息 将 一 种 大 小 转换 为 男 一 种 大 小 。 


表 1-2 ”改编 自 ECRYPT2 (2012) 的 安全 级 别 和 对 应 的 安全 强度 位 数 



























































编 号 保护 对 尔 ”“” 非 对 称 DH 椭圆 曲线 散 列 
1 个 人 实时 攻击 32 芭 过 志 2 
2 对 抗 小 规模 组 织 非常 短期 的 保护 64 816 816 128 128 
3 对 抗 中 等 规模 组 织 的 短期 保护 72 1008 1008 144 144 
4 对 抗 专业 代理 机 构 非常 短期 的 保护 80 1248 1248 160 160 
5 短期 保护 (10 年 ) 96 1776 1776 192 192 
6 中 期 保护 (20 年 ) 112 2432 2432 224 224 
7 长 期 保护 (30 年 ) 128 3248 3248 256 256 
8 长 其 保护， 增加 对 量子 计算 机 的 防御 能 256 15 424 15 424 512 512 
这 份 数据 是 我 从 2012 年 的 一 份 关于 密 钥 和 算法 强度 的 报告 "中 节选 出 来 的 。 它 不 仅 粗略 地 展 





示 了 不 同类 型 算法 的 位 数 对 应 关系 , 而 且 根 据 攻击 者 的 能 力 和 保护 的 时 间 长 度 两 个 方面 定义 了 强 











度 。 尽管 我 们 对 安全 与 否 的 讨论 都 倾向 于 假设 在 现在 这 个 时 间 点 , 但 实际 上 安全 性 是 一 个 与 时 间 


相关 的 函数 。 加 密 的 强度 会 随时 间 发 生变 化 , 这 是 因为 随 着 时 间 的 推移 , 计算 机 会 更 快 、 更 便宜 。 
安全 性 同时 也 是 与 资源 相关 的 函数 。 一 个 短 密 钥 对 个 人 来 说 可 能 不 可 破解 , 但 专业 代理 机 构 就 可 




















以 达成 破解 目标 。 因 此 ， 当 我 们 讨论 安全 性 时 ,提出 诸如 “针对 谁 的 安全 ”和 “多 长 时 间 的 安全 ” 


这 种 问题 会 更 有 价值 。 
注意 





因为 无 法 做 到 精确 衡量 密码 强度 ， 所 以 你 可 以 找到 各 种 不 同 的 推荐 。 它 们 大 多 数 非常 
相似 ， 只 有 一 点 点 区 别 。 以 我 的 经 验 ，ENISA ( European Union Agency forNetwork and 
Information Security， 欧 洲 网 络 与 信息 安全 联合 机 构 ) 提供 了 高 级 文档 ， 可 以 以 多 种 层 
次 ?给 大 家 清晰 的 指导 ”。 如 果 需 要 查阅 和 比较 其 他 推荐 文档 ， 请 访问 keylength.com"。 


尽管 表 1-2 提 供 了 非常 有 用 的 信息 ， 但 你 可 能 会 发 现 它们 难以 使 用 ， 因 为 那些 值 与 我 们 通常 











QD ECRYPT2 Yearly Report on Algorithms and Keysizes, http:/www.ecrypt.eu.org/ ( European Network of Excellence for 


Cryptology II，2012 年 9 月 30 日 )。 


© Recommended cryptographic measures - Securing personal data, https://www.enisa.europa.eu/activities/identity-and-trust/ 


library/deliverables/recommended-cryptographic-measures-securing-personal-data ( ENISA，2013 年 11 月 4 














)。 


@) Algorithms, Key Sizes and Parameters Report, https:/www.enisa.europa.eu/activities/identity-and-trust/library/delive- 
rables/algorithms-key-size-and-parameters-report-2014 (ENISA，2013 年 10 月 29 日 )。 
由 BlueKrypt Cryptographic Key Length Recommendation，http:/wwwkeylength.com/ (BlueKrypt， 检 索 于 2014 年 6 月 4 日 )。 








使 用 的 密 钥 长 度 不 对 应 。 在 实践 中 ， 你 会 发 现 表 1-3 在 将 一 组 安全 位 转换 成 另 一 组 时 更 有 用 。 
表 1-3 ”常用 密 钥 长 度 的 加 密 强 度 映射 








对 称 RSA/DSA/DH 椭圆 曲线 散 列 
80 1024 160 160 
112 2048 224 224 
128 3072 256 256 
256 15 360 512 512 


1.4.5 中 间 人 攻击 


针对 传输 层 安全 性 的 攻击 绝 大 多 数 来 自 中 间 人 (man-in-the-middle，MITM ) 攻击 。 这 意味 
着 除了 会 话 双方 的 两 个 团体 ,还 存在 一 个 恶意 团体 。 如 果 攻 击 者 只 是 监听 双方 的 会 话 ， 我 们 称 之 
为 被 动 网 络 攻击 〈passive network attack )。 如 果 攻 击 者 主动 改变 数据 流 或 者 影响 双方 会 话 ， 我 们 
则 称 之 为 主动 网 络 攻击 (active network attack )。 人 参见 图 1-6。 
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针对 用 户 的 攻击 针对 服务 器 的 攻击 










DNS 服务 器 劫持 和 缓存 污染 攻击 


注册 时 的 DNS 劫持 和 其 他 
路 由 攻击 


本 地 MITM 攻 击 
(比如 ， 全 




















暴露 的 通信 链 路 : 14 个 跃 点 、 数 千 英 里 和 数 个 国家 




















图 1-6 SSL/TLS 威胁 的 概念 模型 


1. 取得 访问 权 
在 很 多 案例 中 ， 攻 击 者 需要 接近 受害 人 或 服务 器 ， 或 者 取得 通信 设施 的 访问 权 。 无 论 是 谁 ， 
只 要 能 进入 线路 和 中 间 通 信 节 点 〈 比 如 路 由 器 )， 就 能 够 看 到 线路 上 通行 的 数据 帧 ， 并 且 能 够 对 




































































QD NIST Special Publication 800-57: Recommendation for Key Management - Part 1: General, Revision 3 ，http:/csrc.nist. 
gov/publications/nistpubs/800-57/sp800-57_partl_rev3_general.pdf (NIST，2012 年 7 月 )。 
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它们 进行 干预 。 可 以 通过 割 开 电缆 "、 与 运营 商 共 谋 ? 或 者 直接 侵入 设备 "来 获取 访问 权 。 

理论 上 ， 执 行 MITM 攻 击 的 最 简单 方法 是 加 入 网 络 ， 然 后 将 受害 者 的 通信 重新 路 由 到 恶意 节 
点 。 现 在 很 多 人 都 在 使 用 的 无 线 网 络 并 没有 身份 验证 机 制 ,任何 人 都 可 以 加 入 , 所 以 尤其 容易 受 
到 这 种 攻击 。 

其 他 攻击 方式 包括 妨碍 域名 解析 、IP 地 址 路 由 等 的 路 由 基础 设施 。 

口 ARP 捧 骗 

地 址 解析 协议 (address resolution protocol，ARP ) 用 于 在 局 域 网 中 将 MAC 地 址 ”与 1P 地 址 进 
行 关 联 。 进 入 网 络 的 攻击 者 可 以 声明 任何 IP 地 址 ， 并 对 网 络 流量 进行 有 效 的 重 路 由 。 

口 WPAD 动 持 

浏览 器 使 用 Web 代 理 自动 发 现 协议 ( web proxy auto-discovery protocol, WPAD ) 自 动 获取 HTTP 
代理 的 配置 。WPAD 使 用 了 好 几 种 方法 ,包括 DHCP 和 DNS。 为 了 攻击 WPAD， 攻 击 者 在 局 域 网 
中 启动 一 台 服 务 需 并 将 其 通知 到 那些 寻找 服务 的 本 地 客户 端 。 
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口 DNS 动 持 
只 要 攻击 者 能 通过 注册 或 者 改变 DNS 配置 来 劫持 某 个 域名 , 就 可 以 支持 访问 这 个 域名 的 所 有 
流量 [3 


口 DNS 缓存 中 毒 

DNS 缓存 中 毒 (DNS cache poisoning ) 是 一 种 攻击 者 利用 DNS 缓存 服务 器 的 缺陷 在 缓存 中 注 
人 非法 域名 信息 的 攻击 方式 。 成 功 完成 这 种 攻击 以 后 , 受 影响 的 DNS 服务 器 的 所 有 用 户 都 将 收 到 
攻击 者 构造 的 非法 信息 。 

口 BGP 路 由 支持 

边界 网 关 协 议 ( border gateway protocol，BGP ) 是 一 种 互联 网 骨干 网 络 用 于 发 现 如 何 精确 定 
位 耳 地 址 段 的 路 由 协议 。 如 果 某 个 非法 路 由 信息 被 一 个 或 更 多 路 由 器 所 接受 ， 所 有 通 往 某 个 特定 
卫 地 址 段 的 流量 都 将 被 重 定 向 到 另 一 处 ， 即 攻击 者 那里 。 

2. 被 动 攻击 

被 动 攻 击 对 于 未 加 密 的 流量 最 为 有 用 。 整个 2013 年 , 世界 各 国 的 政府 机 构 对 互联 网 流量 的 常 
规 监控 和 大 量 存储 变 得 人 尽 皆 知 。 例 如 ， 有 人 宣称 英国 谍报 部 门 GCHQ 记 录 了 英国 所 有 的 互联 网 
流量 并 保存 三 天 时 间 ”。 你 的 电子 邮件 消息 、 照 片 、 互 联网 聊天 记录 ， 以 及 其 他 数据 都 存放 在 某 















































QD The Creepy, Long-Standing Practice of Undersea Cable Tapping , http:/www.theatlantic.com/international/archive/ 
2013/07/the-creepy-long-standing-practice-of-undersea-cable-tapping/277855/(《 大 西洋 月 刊 》2013 年 7 月 16 日 )。 

© New Details About NSA’s Collaborative Relationships With America's Biggest Telecom Companies From Snowden Docs, 
http:/www.matthewaid.com/post/59765378513/new-details-about-nsas-collaborative(《 华盛顿 邮 报 》2013 年 8 月 30 日 )。 

@® Photos of an NSA “upgrade” factory show Cisco router getting implant, http://arstechnica.com/tech-policy/2014/05/ 





photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/ ( Ars Technica，2014 年 5 月 14 日 )。 

@ 这 种 情况 下 ，MAC 代 表 媒 体 接 入 控制 。 它 是 生产 厂家 指定 给 网 卡 的 唯一 标识 。 

© GCHQ taps fibre-optic cables for secret access to world’s communications , http:/www.theguardian.com/uk/2013/ 
jun/21/gchq-cables-secret-world-communications-nsa (《 卫 报 》》 2013 年 6 月 21 日 )。 




















处 的 一 个 数据 库 中 ,等 待 着 进行 相互 参照 ， 分 析 其 是 否 具有 特殊 目的 。 如 果 大 量 数据 都 像 这 样 处 
理 , 那么 可 以 想象 某 些 数据 会 存储 更 长 时 间 甚 至 无 限期 存放 。 为 了 应 对 这 些 ，IETF 宣 布 “ 渗 透 监 
听 就 是 攻击 ””， 需 要 尽 可 能 使 用 加 密 进行 防御 。 

即使 针对 加 密 数 据 ， 被 动 攻 击 仍 可 以 作为 全 局 策略 的 一 个 要 素 发 挥 作用 。 比 如 ,可 以 先 保存 
抓 取 的 加 密 数据 ,直到 破解 加 密 之 后 再 使 用 。 当 前 困难 的 事情 在 十 年 以 后 可 能 就 会 变 得 简单 ， 因 
为 随 着 时 间 的 推移 ， 计 算 机 会 越 来 越 强 大 ， 越 来 越 便宜 ， 也 有 可 能 发 现 加 密 基 元 的 弱点 。 

让 事情 变 得 更 为 糟糕 的 是 , 计算 机 系统 通常 存在 一 个 严重 的 配置 缺陷 , 使 得 攻击 者 可 以 追溯 
解密 记录 的 数据 。TLS 中 最 常见 的 密 钥 交换 算法 是 基于 RSA 算 法 的 ; 在 使 用 这 种 算法 的 系统 中 ， 
密 钥 交 换 使 用 的 RSA 密 钥 也 用 于 解密 过 去 所 有 的 会 话 。 其 他 密 钥 交换 算法 不 存在 这 个 问题 , 被 称 
为 支持 前 向 保密 ( forward secrecy )。 不 幸 的 是 ， 大 部 分 系统 使 用 的 仍然 是 RSA 算 法 。 举 个 例子 ， 
爱德华 . 斯 诺 登 使 用 的 加 密 邮 件 系 统 Lavabit 就 不 支持 前 向 保密 。FBI 拿 着 法 庭 的 传票 ， 迫 使 
Lavabit 交 出 了 他 们 的 加 密 密 钥 >。 有 了 密 钥 ,FBI 就 能 解 开 有 记录 的 通信 ( 当然 , 只 要 他 们 记录 过 )， 
于 是 爱德华 . 斯 诺 登 的 邮件 就 被 破译 了 。 
被 动 攻击 的 效果 非常 好 , 这 既是 因为 还 有 非常 多 的 数据 未 被 加 密 , 也 是 因为 大 量 收集 信息 的 
过 程 可 以 全 自动 化 。 截 至 2014 年 7 月 ， 到 达 Gmail 的 邮件 只 有 58% 进 行 过 加 密 ”， 这 可 以 很 好 地 说 
明 现 在 的 状况 。 


3. 主动 攻击 

当 大 家 谈论 MITM 攻 击 时 , 指 的 基本 上 都 是 主动 攻击 。Mallory 可 以 利用 主动 攻击 以 某 种 方式 
干预 通信 。 传 统 的 MITM 会 攻击 目标 的 身份 验证 系统 ， 诱 使 Alice 认 为 她 正在 与 Bob 通 信 。 如 果 攻 
击 成 功 ，Mallory 会 收 到 Alice 的 消息 并 转 给 Bob。 虽 然 Alice 发 送 消息 时 会 进行 加 密 ， 但 这 并 不 是 
问题 。 因 为 她 的 发 送 对 象 是 Mallory， 后 者 可 以 用 她 与 Alice 协 商 的 密 钥 解密 消息 。 

在 TLS 方 面 ， 对 Mallory 来 说 ， 理 想 的 场景 是 Alice 认 为 她 给 出 的 证 书 是 有 效 的 并 且 接 受 证 书 。 
那样 的 话 ， 攻 击 天 衣 无 颖 ， 基 本 上 无 法 被 发 现 ?。 要 使 证 书 有 效 ， 需 要 攻击 者 扮演 公 钥 证 书 体系 
的 角色 。 近 年 来 ,已 经 有 很 多 这 类 攻击 的 案例 了 ， 我 在 第 4 章 中 记录 了 那些 众所周知 的 案例 。 利 
用 验证 代码 中 的 bug， 攻击 者 可 以 构造 看 似 有 效 的 证 书 。 历史 上， 这 个 领域 内 的 bug 较 为 常见 , 我 
会 在 第 6 章 中 讨论 其 中 一 些 示 例 。 如 果 前 面 所 有 的 攻击 最 终 都 失败 了 ，Mallory 就 会 发 送 一 个 无 效 
证 书 碰 碰 运 气 ， 看 Alice 会 不 会 强行 无 视 证 书 警 告 。 几 年 前 这 种 情况 在 叙利亚 发 生 过 ”。 

作为 强大 的 应 用 发 布 平台 , 浏览 器 的 势头 不 断 上 升 ， 也 为 主动 攻击 提供 了 新 的 攻击 向 量 ,。 在 

























































































































































































































































































QD RFC 7258: Pervasive Monitoring Is an Attack, http://tools.ietf.org/html/rfc7258 ( S. Farrell 和 H. Tschofenig, 2014 年 5 
月 )。 

@) Lavabit，https://en.wikipedia.org/wiki/Lavabit ( 维基 百科 ， 检 索 于 2014 年 6 月 4 日 )。 

@) Transparency Report: Email encryption in transit, http://www.google.com/transparencyreport/saferemail/ ( Google Gmail, 
检索 于 2014 提 7 月 27 日 )。 

@ 除非 你 非常 执着 地 亲自 跟踪 所 有 遇见 过 的 证 书 ， 某 些 浏 览 器 扩展 可 以 做 到 〈 比如 Certificate Patrol for Firefox )。 

© A Syrian Man-In-The-Middle Attack against Facebook , https://www.eff.org/deeplinks/2011/05/syrian-man-middle- 
against-facebook ( The Electronic Frontier Foundation ，2011 年 5 月 5 日 )。 
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这 个 场景 中 ,身份 验证 不 会 受到 攻击 ,攻击 者 操纵 受害 者 的 浏览 器 ,使 浏览 器 提交 精心 构造 的 请 
求 从 而 破坏 加 密 。 近 年 来 ,这 些 攻击 向 量 已 经 被 用 作 新 的 攻击 手段 ， 对 TLS 进 行 了 攻击 。 大 家 可 
以 在 第 7 章 中 找到 更 多 内 容 。 

主动 攻击 的 攻击 力 非常 强大 , 但 更 难 扩 展 。 与 被 动 攻 击 仅 仅 将 观察 的 分 组 进行 复制 ( 这 种 操 
作 非 常 简单 ) 相 比 ， 主 动 攻击 需要 进行 更 多 处 理 并 投入 更 多 努力 来 跟踪 个 体 连 接 。 所 以 主动 攻击 
对 软件 和 硬件 的 需求 会 多 很 多 。 重 定向 大 流量 也 容易 被 发 现 。 同 样 ， 大 规则 证 书 坎 诈 攻击 也 很 难 
奏效 , 原因 是 应 付 这 么 多 个 人 和 组 织 对 各 种 网 站 证 书 的 跟踪 监测 非常 困难 。 最 有 和 希望 成 功 的 攻击 
方式 是 利用 执行 中 的 漏洞 , 绕 过 身份 验证 。 但 是 , 像 这 样 能 带 来 毁灭 性 结果 的 程序 错误 较为 罕见 。 

基于 上 述 原 因 ， 主动 攻击 最 可 能 用 于 攻击 高 价值 的 个 人 目标 。 主 动 攻击 无 法 实现 自动 化 , 这 
意味 着 它们 需要 额外 的 工作 ， 消 耗 很 大 ， 也 因此 更 难以 证 明 其 价值 。 

有 迹象 表明 NSA 在 一 个 名 为 QuantumInsert 的 项 目 中 部 署 了 一 套 庞大 的 设施 ， 可 以 用 来 攻击 
互联 网 上 的 几乎 任意 主机 。 

这 个 项 目 是 MITM 方 案 的 变种 。 它 不 是 针对 目标 的 加 密 系统 ， 而 是 利用 选 定 对 象 个 人 的 浏览 
器 漏洞 投递 攻击 。NSA 在 通信 设施 中 放置 一 些 特殊 的 分 组 注入 节点 , 从 而 得 到 比 真实 服务 顺 更 快 
的 连接 请 求 响应 能 力 ， 并 使 它 可 以 将 部 分 流量 重 定向 到 漏洞 利用 的 服务 器 。 
















































































QD Attacking Tor: How the NSA Targets Users” Online Anonymity, https://www.schneier.com/essays/archives/2013/10/ 
attacking tor how_th.html ( Bruce Schneier，2013 年 10 月 4 日 )。 
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TLS 是 一 种 密码 学 协议 ， 用 于 保证 两 个 团体 之 间 的 会 话 安全 。 会 话 是 由 任意 数量 的 消息 组 成 
的 。 本 章 将 讨论 最 新 的 协议 版 本 TLS 1.2， 也 会 在 合适 的 时 候 对 之 前 的 协议 版 本 进行 简要 说 明 。 

我 的 目标 是 进行 宏观 概述 , 让 你 能 够 理解 其 工作 原理 ， 而 不 会 因 具 体 的 实现 细节 分 心 。 我 尽 
可 能 使 用 消息 内 容 的 示例 ， 避 免 只 给 出 定义 。 本 章 中 定义 用 到 的 语法 在 本 质 上 与 TLS 规 范 完全 一 
致 , 仅 有 稍微 简化 。 要 得 到 更 多 有 关 语 法 和 完整 协议 的 参考 , 请 从 RFC 5246 开 始 了 解 ， 它 描述 了 
TLS 1.2 的 规范 ”"， 但 是 并 没有 完整 的 细节 。 还 有 许多 其 他 的 相关 RFC， 本 章 会 逐一 引用 到 。 

了 解 TLS 的 最 好 方式 是 观察 现实 中 的 网 络 流量 。 我 最 喜欢 的 方法 是 使 用 网 络 捕获 工具 
Wireshark”, 它 带 有 一 个 TLS 协 议 分 析 器 : 用 你 喜爱 的 浏览 器 进入 一 个 安全 网 站 , 再 启用 Wireshark 
监视 连接 〈 最 好 限制 只 捕 提 一 个 主机 名 和 端口 443 )， 并 观察 协议 消息 。 

在 理解 TLS 以 后 (不 用 努力 了 解 一 切 ; 因为 特性 太 多 ， 理 解 所 有 特性 非常 困难 )， 你 可 以 自 
由 浏览 各 类 RFC， 甚 至 在 关键 邮件 列表 中 “潜水 ”。 我 最 喜欢 的 两 处 是 TLS 工 作 组 文档 页 ”和 TLS 
工作 组 邮件 列表 ”。 你 可 以 在 前 者 中 找到 关键 文档 和 新 提案 的 清单 ， 可 以 在 后 者 中 跟 进 有 关 TLS 
未 来 发 展 方向 的 讨论 。 


2.1 记录 协议 
宏观 上 ，TLS 以 记录 协议 ( record protocol ) 实现 。 记 录 协 议 负责 在 传输 连接 上 交换 的 所 有 底 


层 消 息 ， 并 可 以 配置 加 密 。 每 一 条 TLS 记 录 以 一 个 短 标 头 起 始 。 标 头 包 含 记录 内 容 的 类 型 ( 或 子 
协议 入 协议 版 本 和 长 度 。 消 息 数据 紧 跟 在 标 头 之 后 ， 如 图 2-1 所 示 。 




































































QD RFC 5246: The Transport Layer Security Protocol Version 1.2 http://tools.ietf.org/html/rfc5246 ( T. Dierks 和 了 E. Rescorla， 
2008 年 8 月 )。 

@ Wireshark，https:/www.wireshark.org ( 检索 于 2015 年 7 月 13 日 )。 

GTLS working group documents ,https://datatracker.ietf.org/wg/tls/documents/( IETF ， 检 索 于 2014 年 7 月 19 日 )。 

由 TLS working group mailing list archives, http://www.ietf.org/mail-archive/web/tls/current/( IETF , 检索 于 2014 年 7 月 19 日 )。 
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TLS 记 录 











图 2-1 ”TLS 记录 
可 以 更 为 正式 地 将 TLS 记 录 的 字段 定义 为 如 下 所 示 。 


struct { 
uint8 major; 
uint8 minor; 

} ProtocolVersion; 


enum { 

change_ cipher spec (20)， 
alert (21), 
handshake (22), 
application data (23) 
} ContentType; 


struct { 

ContentType type; 

ProtocolVersion version; 

uint16 length; /* 最 大 长 度 为 2^14 (16 384) 字 节 */ 
opaque fragment[TLSPlaintext.length]; 

} TLSPlaintext; 


除了 这 些 可 见 的 字段 , 还 会 给 每 一 个 TLS 记 录 指 定 唯一 的 64 位 序列 号 , 但 不 会 在 线路 上 传输 。 
任 一 端 都 有 自身 的 序列 号 并 跟踪 来 自 男 一 端 记录 的 数量 。 这 些 值 是 对 抗 重 放 攻击 的 一 部 分 。 稍 后 
你 可 以 看 到 它 的 工作 原理 。 
记录 协议 从 多 个 重要 的 宏观 角度 对 通信 进行 考量 ， 是 一 个 很 有 用 的 协议 抽象 。 
口 消息 传输 
记录 协议 传输 由 其 他 协议 层 提 交 给 它 的 不 透明 数据 缓冲 区 。 如 果 缓 冲 区 超过 记录 的 长 度 
限制 (16 384 字 节 )， 记 录 协 议会 将 其 切 分 成 更 小 的 片段 。 反 过 来 也 是 可 能 的 ， 属 于 同一 
个 子 协议 的 小 缓冲 区 也 可 以 组 合成 一 个 单独 的 记录 。 
口 加 密 以 及 完整 性 验证 
在 一 个 刚 建立 起 来 的 连接 上 ， 最 初 的 消息 传输 没有 受到 任何 保护 ( 从 技术 上 讲 ， 就 是 使 
用 了 TLS_NULL WITH_NULL NULL 密 码 套 件 )。 这 是 必需 的 ， 否 则 第 一 次 协商 就 无 法 进行 。 但 
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是 , 一 旦 握手 完成 ， 记 录 层 就 开始 按照 协商 取得 的 连接 参数 进行 加 密 和 完整 性 验证 ”。 
口 压缩 
理论 上 ， 在 加 密 之 前 透明 地 对 数据 进行 压缩 非常 好 ， 可 是 实践 中 几乎 没有 人 这 样 做 。 这 
主要 是 因为 每 个 应 用 在 HITP 层 就 已 经 对 它们 的 出 口 流量 进行 过 压缩 。 这 个 特性 在 2012 年 
但 受过 一 次 严重 打击 ， 当 时 CRIME 攻 击 使 压缩 成 为 不 安全 的 特性 ”， 所 以 现在 也 不 会 再 被 
使 用 。 
口 扩展 性 
记录 协议 只 关注 数据 传输 和 加 密 , 而 将 所 有 其 他 特性 转交 给 子 协议 。 这 个 方法 使 TLS 可 以 
扩展 ， 因 为 可 以 很 方便 地 添加 子 协议 。 伴 随 着 记录 协议 而 被 加 密 ， 所 有 子 协议 都 会 以 协 
商 取 得 的 连接 参数 自动 得 到 保护 。 
TLS 的 主 规格 说 明 书 定义 了 四 个 核心 子 协议 : 握手 协议 (handshake protocol )、 密 钥 规格 变 
协议 ( change cipher spec protocol )、 应 用 数据 协议 ( application data protocol ) 和 警报 协议 (alert 


protocol )。 
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握手 是 TLS 协 议 中 最 精密 复杂 的 部 分 。 在 这 个 过 程 中 ,通信 双方 协商 连接 参数 ， 并 且 完 成 身 
份 验证 。 根据 使 用 的 功能 的 不 同 ,整个 过 程 通常 需要 交换 6~10 条 消息 。 根据 配置 和 支持 的 协议 扩 
展 的 不 同 ,交换 过 程 可 能 有 许多 变种 。 在 使 用 中 经 常 可 以 观察 到 以 下 三 种 流程 : (1) 完整 的 握手 ， 
对 服务 器 进行 身份 验证 ; (2) 恢复 之 前 的 会 话 采 用 的 简短 握手 ; (3) 对 客户 端 和 服务 器 都 进行 身份 
验证 的 握手 。 
握手 协议 消息 的 标 头 信息 包含 消息 类 型 (1 字 闻 ) 和 长 度 〈3 字 节 ), 余下 的 信息 则 取决 于 消 


息 类 型 2 



















































































struct { 
HandshakeType msg type; 
uint24 length; 
HandshakeMessage message; 
} Handshake; 


2.2.1 完整 的 握手 


每 一 个 ITLS 连 接 都 会 以 握手 开始 。 如 果 客 户 端 此 前 并 未 与 服务 器 建立 会 话 ， 那 么 双方 会 执行 
一 次 完整 的 握手 流程 来 协商 TLS 会 话 。 握 手 过 程 中 ， 客 户 端 和 服务 顺 将 进行 以 下 四 个 主要 步骤 。 

(1) 交换 各 自 支 持 的 功能 ， 对 需要 的 连接 参数 达成 一 致 。 

(2) 验证 出 示 的 证 书 ， 或 使 用 其 他 方式 进行 身份 验证 。 



































zz 岂 














@ 大 多 数 情况 下 ， 这 代表 后 续 流 量 是 加 密 的 并 且 其 完整 性 已 进行 过 验证 。 但 也 存在 少量 套件 未 使 用 加 密 而 仅 使 
完整 性 校 验 的 情况 。 
@) 我 会 在 7.3 节 中 讨论 CRIME 攻 击 以 及 各 种 其 他 压缩 相关 的 弱点 。 
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(3) 对 将 用 于 保护 会 话 的 共享 主 密 钥 达成 一 致 。 
(4) 验证 握手 消息 并 未 被 第 三 方 团 体 修改 。 











注意 

在 实际 使 用 中 ， 第 2 步 和 第 3 步 都 是 密 钥 交换 ( 更 通用 的 说 法 是 密 钥 生成 ) 的 一 部 分 ， 
密 钥 交换 是 一 个 单独 的 步 又。 我 更 喜欢 将 它们 分 开 来 说 ， 用 以 强调 协议 的 安全 性 取决 
于 正确 的 身份 验证 。 身 份 验 证 有 效 地 在 TLS 的 外 层 工作 。 如 果 没 有 身份 验证 ， 主 动 攻 
击 者 就 可 以 将 自身 谱 入 会 话 ， 并 冒充 会 话 的 另 一 端 。 


本 节 会 讨论 最 常见 的 TLS 握 手 流程 ,就 是 一 种 在 不 需要 身份 验证 的 客户 端 与 需要 身份 验证 的 
服务 器 之 间 的 握手 ， 如 图 2-2 所 示 。 后 面 几 节 将 介绍 其 他 的 流程 : 客户 端 身份 验证 和 会 话 恢复 。 


























客户 端 服务 器 





人 @ ClientHello 一 > 
才 一 Serverlello 2 
才 一 tberticate* © 
后- ServerKeyExchange* (4 
才 一 Sorverhellon0one © 
©@ ClientkeyExchange 一 > 
7 [thangetipherSpec] 一 
@@ nse 一 
OS [ChangecipherSpec] 
村 OO Finished 


e090 


* 可 选 消息 
[] ChangeCipherspec 协 议 消息 














图 2-2 ”对 服务 器 进行 身份 验证 的 完整 握手 


(1) 客户 端 开 始 新 的 握手 ， 并 将 自身 支持 的 功能 提交 给 服务 器 。 
(2) 服务 器 选择 连接 参数 。 

(3) 服务 器 发 送 其 证 书 链 〈 仅 当 需 要 服务 器 身份 验证 时 )。 

(4) 根据 选择 的 密 钥 交 换 方 式 ， 服 务 咒 发送 生 成 主 密 钥 的 额外 信息 。 
(5) 服务 器 通知 自己 完成 了 协商 过 程 。 
(6) 客户 端 发 送 生成 主 密 钥 所 需 的 额外 信息 。 
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(7) 客户 端 切 换 加 密 方 式 并 通知 服务 器 。 
(8) 客户 端 计算 发 送 和 接收 到 的 握手 消息 的 MAC 并 发 送 。 
(9) 服务 需 切 换 加 蜜 方式 并 通知 客户 端 。 0 
(10) 服务 器 计算 发 送 和 接收 到 的 握手 消息 的 MAC 并 发 送 。 
假设 没有 出 现 错误 ， 到 这 一 步 ， 连接 就 建立 起 来 了 ,可 以 开始 发 送 应 用 数据 。 现 在 让 我 们 了 
解 一 下 这 些 握手 消息 的 更 多 细节 。 


1. ClientHello 
在 一 次 新 的 握手 流程 中 ，ClientHello 消 息 总 是 第 一 \。 这 条 消息 将 客户 端的 功能 和 首 
选项 传送 给 服务 器 。 客 户 端 会 在 新 建 连 接 后 ， ee 
( 由 HelloRequest 消 息 指示 ) 时 ， 发 送 这 条 消息 。 
在 下 面 的 例子 中 ， 你 可 以 观察 到 Clienthello 消 息 。 为 了 更 简洁 ， 我 减少 了 一 些 信息 展示 ， 
但 是 包含 了 所 有 的 关键 元 素 。 
Handshake protocol: ClientHello 
Version: TLS 1.2 
Random 
Client time: May 22, 2030 02:43:46 GMT 
Random bytes: b76b0e61829557eb4c611adfd2d36eb232dc1332fe29802e321ee871 


Session ID: (empty) 
Cipher Suites 
















































































Suite: TLS ECDHE RSA WITH AES 128 GCM SHA256 
Suite: TLS DHE RSA WITH AES 128 GCM SHA256 
Suite: TLS RSA WITH AES 128 GCM SHA256 
Suite: TLS ECDHE RSA WITH AES 128 CBC SHA 
Suite: TLS DHE RSA WITH AES 128 CBC SHA 
Suite: TLS RSA WITH AES 128 CBC SHA 

人 


Suite: TLS_RSA_WNITH_3DES_EDE_CBC_SHA 
Suite: TLS RSA WITH RC4 128_SHA 

Compression methods 

ethod: null 

Extensions 

Extension: server name 

Hostname: www.feistyduck.com 

Extension: renegotiation info 

Extension: elliptic curves 

Named curve: Secp256T1 

Named curve: secp384r1 

Extension: signature algorithms 
Algorithm: shai/rsa 
Algorithm: sha256/rsa 
Algorithm: shai/ecdsa 
Algorithm: sha256/ecdsa 


可 以 看 到 ， 绝 大 多 数 消息 字段 光 看 名 称 就 很 容易 理解 ， 而 且 消 息 的 结构 也 很 容易 理解 。 
口 Version 

协议 版 本 ( protocol version ) 指示 客户 端 支持 的 最 佳 协议 版 本 。 

口 Random 





























24 第 2 章 协议 





随机 数 (random ) 字段 包含 32 字 节 的 数据 。 当 然 ， 只 有 28 字 节 是 随机 生成 的 ; 剩余 的 4 字 
节 包 含 额 外 的 信息 ， 受 客户 端 时 钟 的 影响 。 准 确 来 说 ， 客 户 端 时 间 与 协议 不 相关 ， 而 且 
协议 规格 文档 中 言及 此 事 时 也 很 清楚 (“基本 的 TLS 协 议 不 需要 正确 设置 时 钟 ， 更 高 层 或 
应 用 协议 可 以 定义 额外 的 需求 项 。/”); 该 字段 是 1994 年 在 Netscape Navigator 中 发 现 了 一 个 
严重 故障 之 后 ,为 了 防御 弱 随机 数 生成 器 而 引入 的 "。 尽 管 这 个 字段 曾经 一 直 含 有 精确 时 
间 的 部 分 , 但 现在 仍然 有 人 担心 客户 端 时间 可 能 被 用 于 大 规模 浏览 器 指纹 采集 *， 所 以 一 
些 浏览 器 会 给 它们 的 时 间 添 加 时 钟 扭曲 〈 正 如 你 在 示例 中 所 看 到 的 那样 ), 或 者 简单 地 发 
送 随机 的 4 字 节 。 
在 握手 时 ， 客 户 端 和 服务 器 都 会 提供 随机 数 。 这 种 随机 性 对 每 次 握手 都 是 独一无二 的 ， 在 
身份 验证 中 起 着 举足轻重 的 作用 。 它 可 以 防止 重 放 攻 击 ， 并 确认 初始 数据 交换 的 完整 性 。 
口 Session ID 
在 第 一 次 连接 时 ， 会 话 ID ( session ID ) 字段 是 空 的 ， 这 表示 客户 端 并 不 希望 恢复 某 个 已 
存在 的 会 话 。 在 后 续 的 连接 中 ， 这 个 字段 可 以 保存 会 话 的 唯一 标识 。 服 务 器 可 以 借助 会 
话 ID 在 自己 的 缓存 中 找到 对 应 的 会 话 状态 。 典 型 的 会 话 ID 包含 32 字 节 随 机 生成 的 数据 ， 
这 些 数据 本 身 并 没有 什么 价值 。 
DQ Cipher Suites 
密码 套件 (cipher suite ) 块 是 由 客户 端 支持 的 所 有 密码 套件 组 成 的 列表 ， 该 列表 是 按 优先 
级 顺序 排列 的 。 
口 Compression 
客户 端 可 以 提交 一 个 或 多 个 支持 压缩 的 方法 。 默 认 的 压缩 方法 是 nul1， 代 表 没 有 压缩 。 
口 Extensions 
扩展 (extension ) 块 由 任意 数量 的 扩展 组 成 。 这 些 扩展 会 携带 额外 数据 。 我 会 在 本 章 后 面 
对 最 常见 的 扩展 进行 讨论 。 
2. ServerHello 
ServerHello 消 息 的 意义 是 将 服务 器 选择 的 连接 参数 传送 回 客户 端 。 这 个 消息 的 结构 与 
ClientHello 类 似 ， 只 是 每 个 字段 只 包含 一 个 选项 。 













































































Handshake protocol: ServerHello 
Version: TLS 1.2 
Random 
Server time: Mar 10, 2059 02:35:57 GMT 
Random bytes: 8469b09b480c1978182ce1b59290487609f41132312ca22aacaf5012 
Session ID: 4cae75c91cf5adf55f93c9fb5dd36d19903b1182029af3d527b7a42ef1c32c80 
Cipher Suite: TLS ECDHE RSA WITH AES 128 GCM SHA256 
Compression method: null 
Extensions 





























Qz 如 果 想 得 到 有 关 这 个 问题 的 更 多 信息 ， 请 参考 6.2.1 节 。 
©® Deprecating gmt unix time in TLS, https://tools.ietf.org/id/draft-mathewson-no-gmtunixtime-00.txt ( N. Mathewson 和 
B. Laurie，2013 年 12 月 )。 
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Extension: server name 
Extension: renegotiation info 


服务 需 无 需 支 持 客户 端 文 持 的 最 佳 版 本 。 如 果 服 务 器 不 支持 与 客户 端 相 同 的 版 本 , 可 以 提供 
某 个 其 他 版 本 以 期 待 客户 端 能 够 接受 。 

3. Certificate 

典型 的 Certificate 消 息 用 于 携带 服务 器 X.509 证 书 链 。 证 书 链 是 以 ASN.1 DER 编码 的 一 系列 
证 书 , 一 个 接着 一 个 组 合 而 成 。 主 证 书 必 须 第 一 个 发 送 ， 中间 证 书 按照 正确 的 顺序 跟 在 主 证 书 之 
后 。 根 证 书 可 以 并 且 应 该 省 略 掉 ， 因 为 在 这 个 场景 中 它 没有 用 处 。 

服务 器 必须 保证 它 发 送 的 证 书 与 选择 的 算法 套件 一 致 。 比 方 说 , 公 钥 算法 与 套件 中 使 用 的 必 
须 匹 配 。 除 此 以 外 , 一 些 密 钥 交换 算法 依赖 蔡 入 证 书 的 特定 数据 ， 而 且 要 求证 书 必 须 以 客户 端 支 
持 的 算法 签名 。 所 有 这 些 都 表明 服务 器 需要 配置 多 个 证 书 ( 每 个 证 书 可 能 会 配备 不 同 的 证 书 链 )。 

Certificate 消 息 是 可 选 的 , 因为 并 非 所 有 套件 都 使 用 身份 验证 , 也 并 非 所 有 身份 验证 方法 都 
需要 证 书 。 更 进一步 说 ， 虽 然 消 息 默 认 使 用 X.509 证 书 ,但 是 也 可 以 携带 其 他 形式 的 标志 ; 一 些 
套件 就 依赖 PGP 密 钥 ”。 

4. ServerKeyExchange 

ServerKeyExchange 消 息 的 目的 是 携带 密 钥 交 换 的 额外 数据 ,消息 内 容 对 于 不 同 的 协商 算法 套 
件 都 会 存在 差异 。 在 某 些 场景 中 ,服务 器 不 需要 发 送 任何 内 容 , 这 意味 着 在 这 些 场景 中 根本 不 会 
发 送 ServerKeyExchange 消 息 。 































































































5. ServerHelloDone 

ServerHelloDone 消 息 表明 服务 需 已 经 将 所 有 预计 的 握手 消息 发 送 完毕 。 在 此 之 后 , 服务 需 会 
等 待 客户 端 发 送 消息 。 

6. ClientKeyExchange 

ClientKeyExchange 消 息 携带 客户 端 为 密 钥 交换 提供 的 所 有 信息 。 这 个 消息 受 协商 的 密码 套件 
的 影响 ， 内 容 随 着 不 同 的 协商 密码 套件 而 不 同 。 

7. ChangeCipherSpec 

ChangeCipherSpec 消 息 表 明 发 送 端 已 取得 用 以 生成 连接 参数 的 足够 信息 ,已 生成 加 密 密 钥 ， 
并 且 将 切换 到 加 密 模式 。 客 户 端 和 服务 器 在 条 件 成 熟 时 都 会 发 送 这 个 消息 。 


注意 

更 

ChangeCipherSpec 不 属于 握手 消息 ， 它 是 另 一 种 协议 ， 只 有 一 条 消息 ， 作 为 它 的 子 协 
议 进行 实现 。 这 个 设计 的 结果 是 这 条 消息 不 是 握手 完整 性 验证 算法 的 一 部 分 , 这 使 得 
正确 实现 TLS 更 为 困难 。 在 2014 年 6 月 ， 人 们 发 现 OpenSSL 对 于 ChangeCipherSpec 消 息 























QD RFC 5081: Using OpenPGP Keys for TLS Authentication, http://tools.ietf.org/html/rfc5081( N. Mavrogiannopoulos, 2007 
年 11 月 )。 
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的 处 理 不 正确 ， 使 得 OpenSSL 为 主动 网 络 攻 击 淫 开 了 大 门 "。 

同样 的 问题 也 出 现在 其 他 所 有 子 协 议 中 。 主动 网 络 攻击 者 利用 缓冲 机 制 在 首次 握手 时 
发 送 未 经 验证 的 警报 消息 ， 更 可 以 在 开始 加 密 以 后 破 环 真正 的 警报 消息 ?2。 为 了 避免 
更 严重 的 问题 ， 应 用 数据 协议 消息 必须 等 到 首次 握手 完成 以 后 才能 开始 发 送 。 


8. Finished 

Finished 消 息 意味 着 握手 已 经 完成 。 消 息 内 容 将 加 密 ， 以 便 双方 可 以 安全 地 交换 验证 整个 握 
手 完 整 性 所 需 的 数据 。 

这 个 消息 包含 verify_data 字 段 ， 它 的 值 是 握手 过 程 中 所 有 消息 的 散 列 值 。 这 些 消 息 在 连接 
两 端 都 按照 各 自 所 见 的 顺序 排列 , 并 以 协商 新 得 到 的 主 密 钥 计算 散 列 。 这 个 过 程 是 通过 一 个 伪 随 
机 函数 (pseudorandom function，PRF ) 来 完成 的 ， 这 个 函数 可 以 生成 任意 数量 的 伪 随 机 数据 。 
我 将 在 本 章 的 后 续 部 分 中 对 其 进行 介绍 。 散 列 函 数 与 PRF 一 致 ， 除 非 协商 的 套件 指定 使 用 其 他 算 
法 。 两 端的 计算 方法 一 致 , 但 会 使 用 不 同 的 标签 : 客户 端 使 用 client finished , 而 服务 器 则 使 用 server 
finished。 

































































verify data = PRF(master secret, finished label, Hash(handshake messages)) 

因为 Finished 消 息 是 加 密 的 , 并 且 它 们 的 完整 性 由 协商 MAC 算 法 保证 , 所 以 主动 网 络 攻击 者 
不 能 改变 握手 消息 并 对 vertify_data 的 值 造假 。 

理论 上 攻击 者 也 可 以 尝试 找到 一 组 伪造 的 握手 消息 ,得 到 的 值 与 真正 消息 计算 出 的 
verity_data 的 值 完全 一 致 。 这 种 攻击 本 身 就 非常 不 容易 ， 而 且 因为 散 列 中 混 人 了 主 密 钥 〈 攻击 
者 不 知道 主 密 钥 )， 所 以 攻击 者 根本 不 会 尝试 。 

在 TLS 1.2 版 本 中 ,Finished 消 息 的 长 度 默认 是 12 字 节 ( 96 位 ), 并 且 人 允许 密码 套件 使 用 更 长 的 
长 度 。 在 此 之 前 的 版 本 ， 除 了 SSL 3 使 用 36 字 节 的 定 长 消息 ， 其 他 版 本 都 使 用 12 字 节 的 定 长 消息 。 


2.2.2 ”客户 端 身份 验证 


尽管 可 以 选择 对 任意 一 端 进行 身份 验证 , 但 人 们 几乎 都 启用 了 对 服务 器 的 身份 验证 。 如 果 服 
务 器 选择 的 套件 不 是 匿名 的 ， 那 么 就 需要 在 Certificate 消 息 中 跟 上 自己 的 证 书 。 

相 比 之 下 ， 服 务 器 通过 发 送 CertificateRequest 消 息 请 求 对 客户 端 进行 身份 验证 。 消 息 中 列 
出 所 有 可 接受 的 客户 端 证 书 。 作 为 响应 ， 客 户 端 发 送 自己 的 Certificate 消 息 (使 用 与 服务 器 发 
送 证 书 相 同 的 格式 )， 并 附 上 证 书 。 此 后 ， 客 户 端 发 送 CertificateVerify 消 息 ， 证 明 自 己 拥有 对 
应 的 私 钥 。 完 整 的 握手 如 图 2-3 所 示 。 































































































@ 你 可 以 在 6.1.1 节 中 找到 有 关 此 缺陷 的 更 多 信息 。 
© The Alert attack ，http:/www.mitls.org/wsgi/alert-attack (miTLS，2012 年 2 月 )。 
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客户 端 服务 器 


1 [ClientHello 一 > 
ServerHello [2) 
OO Certificate* @ 
本 一 ServerkeyExchange* [4) 
< CertificateRequest ©@ 
ServerkelloDone ©@ 

(7) Certificate 一 

8 】 ClientkeyExchange 一 

© Certificateyerify 一 

省 [ChangeCipherSpec] 一 

@ hinel 一 
可 一 [ChangecipherSpec] 
丁 一 一 Finishel 


© 


* 可 选 消 息 
[] ChangeCipherSpec 协 议 消息 





图 2-3 ”完整 的 握手 ， 在 此 期 间 客户 端 和 服务 器 都 会 进行 身份 验证 











只 有 已 经 过 身份 验证 的 服务 器 才 被 允许 请 求 客户 端 身份 验证 。 基于 这 个 原因 ,这 个 选项 被 称 
为 相互 身份 验证 ( mutual authentication )。 


1. CertificateRequest 


服务 右 使 月 











有 CertificateRequest 消 息 请 求 对 客户 端 进行 身份 验证 ， 并 将 其 接受 的 证 书 的 公 钥 


和 签名 算法 传送 给 客户 端 。 它 也 可 以 选择 发 送 一 份 自己 接受 的 证 书 颁发 机 构 列 表 , 这 些 机 构 都 用 
其 可 分 辨 名 称 来 表示 : 


struct { 
ClientC 
Signatu 
Disting 

} Certifica 





ertificateType certificate types; 
reAndHashAlgorithm supported signature algorithms; 
uishedName certificate authorities,; 

teRequest; 


2. CertificateVerify 
客户 端 使 用 Certificateverify 消 息 证 明 自 己 拥有 的 私 钥 与 之 前 发 送 的 客户 端 证 书 中 的 公 钥 
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相对 应 。 消 息 中 包含 一 条 到 这 一 步 为 止 的 所 有 握手 消息 的 签名 : 


struct { 
Signature handshake messages signature; 
} CertificateVerify; 


2.2.3 会话 恢复 


完整 的 握手 协议 非常 复杂 ， 需 要 很 多 握手 消息 和 两 次 网 络 往返 才能 开始 发 送 客户 端 应 用 数 
据 。 此 外 ,握手 执 行 的 密 钥 学 操作 通常 需要 密集 的 CPU 处 理 。 身 份 验 证 通常 以 客户 端 和 服务 器 证 
书 验证 ( 以 及 证 书 吊 销 检查 ) 的 形式 完成 ， 需 要 更 多 的 工作 。 这 其 中 的 许多 消耗 都 可 以 通过 简短 
握手 的 方式 节约 下 来 。 

最 初 的 会 话 恢复 机 制 是 , 在 一 次 完整 协商 的 连接 断 开 时 , 客户 端 和 服务 器 都 会 将 会 话 的 安全 
参数 保存 一 段 时 间 。 和 希望 使 用 会 话 恢 复 的 服务 器 为 会 话 指定 唯一 的 标识 ， 称 为 会 话 ID。 服 务 器 在 
ServerHello 消 息 中 将 会 话 ID 发 回 客户 端 ( 请 参见 2.2.2 节 中 的 示例 )。 

希望 恢复 早先 会 话 的 客户 端 将 适当 的 会 话 ID 放 入 ClientHello 消 息 ， 然 后 提交 。 服 务 絮 如 果 
愿意 恢复 会 话 ， 就 将 相同 的 会 话 ID 放 入 ServerHello 消 息 返回 ， 接 着 使 用 之 前 协商 的 主 密 钥 生成 
一 套 新 的 密 钥 ， 再 切换 到 加 密 模式 ， 发 送 Finished 消 息 。 客 户 端 收 到 会 话 已 恢复 的 消息 以 后 ， 也 
进行 相同 的 操作 。 这 样 的 结果 是 握手 只 需要 一 次 网 络 往返 。 简 短 握手 如 图 2-4 所 示 。 




















































































































客户 端 服务 器 


\1) bienthello 一 > 
才 一 Serverhello 2 
才 一 [ChangecipherSpec] © 
4 rmnol OO 

5 [ChangeCipherSpec] “一 

6 hishal 一 


[] ChangeCipherSpec 协 议 消 息 























图 2-4 ”简短 握手 ， 用 于 恢复 已 经 建立 的 会 话 


用 来 奉 代 服务 器 会 话 缓存 和 恢复 的 方案 是 使 用 会 话 票证 ( sesession ticket )。 它 是 2006 年 引入 
的 (参见 RFC 4507 )， 随 后 在 2008 年 进行 了 更 新 (参见 RFC 5077 )。 使 用 这 种 方式 ， 除 了 所 有 的 
状态 都 保持 在 客户 端 ( 与 HTTP Cookie 的 原理 类 似 ) 之 外 , 其 消息 流 与 服务 器 会 话 缓存 是 一 样 的 。 
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2.3 密 钥 交换 

















密 钥 交 换 是 握手 过 程 中 最 引人入胜 的 部 分 。 在 TLS 中 , 会 话 安全 性 取决 于 称 为 主 密 钥 ( master 





secret ) 的 48 字 节 共 享 密 钥 。 密 钥 交 换 的 目的 是 计算 男 一 个 值 ， 即 预 主 密 钥 ( premaster secret )。 
这 个 值 是 组 成 主 密 钥 的 来 源 。 


TLS 支 持 许多 密 钥 交 换算 法 ， 能够 支持 各 种 证 书 类 型 、 公 钥 算 法 和 密 钥 生成 协议 。 它 们 之 中 





























有 一 些 在 TLS 协 议 主 规格 书 中 定义 , 但 更 多 的 则 是 在 其 他 规格 说 明 中 定义 。 你 可 以 在 表 2-1 中 找到 
最 常用 的 算法 。 
表 2-1 最 常用 的 密 钥 交 换算 法 概览 
密 钥 交 换 描 述 

dh_anon Diffie-Hellman (DH) 密 钥 交换 ， 未 经 身份 验证 

dhe_rsa 临时 DH 密 钥 交换 ， 使 用 RSA 身 份 验证 

ecdh_anon 临时 椭圆 曲线 DH (elliptic curve DH，ECDH) 密 钥 交 换 ， 未 经 身份 验证 (RFC 4492) 
ecdhe rsa 临时 ECDH 密 钥 交 换 ， 使 用 RSA 身 份 验证 (RFC 4492) 

ecdhe ecdsa 临时 ECDH 密 钥 交 换 ， 使 用 ECDSA 身 份 验证 (RFC 4492) 

krb5 Kerberos 密 钥 交 换 (RFC 2712) 

rsa RSA 密 钥 交 换 和 身份 验证 

psk 预 共享 密 钥 (pre-shared key，PSK) 密 钥 交 换 和 身份 验证 (RFC 4279) 

dhe_psk 临时 DH 密 钥 交换 ， 使 用 PSK 身 份 验证 (RFC 4279) 

rsa psk PSK 密 钥 交 换 ， 使 用 RSA 身 份 验证 (RFC 4279) 

srp 安全 远程 密码 (secure remote password，SRP) 密 钥 交换 和 身份 验证 (RFC 5054) 





使 用 哪 一 种 密 钥 交 换 由 协商 的 套件 所 决定 。 一 旦 套件 决定 下 来 ,两 端 都 能 了 解 按照 哪 种 算法 











继续 操作 。 实 际 使 用 的 密 钥 交换 算法 主要 有 以 下 4 种 。 


口 RSA 
RSA 是 一 种 事实 上 的 标准 密 钥 交换 算法 ， 它 得 到 了 广泛 的 支持 。 但 它 受到 一 个 问题 的 严 
重 威胁 : 它 的 设计 使 被 动 攻击 者 可 以 解码 所 有 加 密 数 据 ， 只 要 她 能 够 访问 服务 器 的 私 钥 。 
因此 ，RSA 密 钥 交 换 正 慢 慢 被 其 他 支持 前 向 保密 (forward secrecy ) 的 算法 所 蔡 代 。RSA 
密 钥 交换 是 一 种 密 钥 传输 (key transport ) 算法 ， 这 种 算法 由 客户 端 生成 预 主 密 钥 ， 并 以 
服务 器 公 钥 加 密 传 送 给 服务 器 。 

DQ DHE RSA 
临时 Diffie-Hellman (ephemeral Diffie-Hellman，DHE ) 密 钥 交换 是 一 种 构造 完备 的 算法 。 
它 的 优点 是 支持 前 向 保密 ， 缺 点 是 执行 缓慢 。DHE 是 一 种 密 钥 协 定 算 法 ， 进 行 协商 的 
体 都 对 密 钥 生 成 产生 作用 , 并 对 公共 密 钥 达成 一 致 。 在 TLS 中 , DHE 通 党 与 RSA 身 份 验 证 
联合 使 用 。 

口 ECDHE RSA 和 ECDHE ECDSA 
临时 椭圆 曲线 Diffie-Hellman ( ephemeral elliptic curve Diffie-Hellman，ECDHE ) 密 钥 交换 
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建立 在 椭圆 曲线 加 密 的 基础 之 上 。 椭 圆 曲 线 算法 是 相对 较 新 的 算法 。 大 家 认可 它 执行 很 


























快 而 且 提 供 了 前 向 保密 。 但 是 只 有 和 较 新 的 客户 端 才 能 较 好 地 支持 。ECDHE 也 是 一 种 密 钥 
协定 算法 ， 其 理论 原理 与 DHE 类 似 。 在 TLS 中 ，ECDHE 可 以 与 RSA 或 者 ECDSA 身 份 验证 








一 起 使 用 。 





不 论 使 用 哪 一 种 密 钥 交换 ， 服 务 器 都 有 机 会 发 送 ServerKeyExchange 消 息 率先 发 话 : 


struct { 
select (KeyExchangeAlgorithm) { 
case dh _anon: 
ServerDHParams params; 
case dhe rsa: 
ServerDHParams params; 


Signature params_signature; 


case ecdh anon: 
ServerECDHParams params; 
case ecdhe rsa: 


case ecdhe ecdsa: 


ServerECDHParams params; 














Signature params_signature; 


Case rsa: 
case dh rsa: 
/* 无 消息 */ 


) 
} ServerKeyExchange; 




















你 可 以 在 上 面 的 消息 定义 中 发 现 , 在 某 些 算法 内 ， 服 务 器 不 发 送 任何 信息 。 原 因 是 在 这 些 情 











况 下 ， 所 有 需要 的 信息 已 经 通过 其 他 消 , 














息 得 到 ; 不 然 ， 服务器 就 会 在 此 发 送 其 密 钥 交 换 的 参数 。 


关键 的 是 , 服务 器 也 会 发 送 参 数 的 签名 用 于 身份 验证 。 使 用 签名 ,客户 端 得 以 确认 它 正在 与 持 有 
私 钥 对 应 证 书 中 的 公 钥 的 团体 进行 通信 。 


客户 端 会 发 送 ClientKeyExchange 消 ， 


struct { 
select (KeyExchangeAlgorithm) { 
Case rsa: 
EncryptedPreMasterSecret; 

case dhe dss: 
case dhe rsa: 
case dh dss: 
case dh rsa: 
case dh _anon: 


ClientDiffieHellmanpublic; 


case ecdhe: 











息 传 送 它 的 密 钥 交换 参数 ， 这 个 消息 总 是 必需 的 : 


ClientECDiffieHellmanpPublic; 


} exchange keys; 
} ClientkeyExchange; 


2.3.1 RSA 密 钥 交换 
RSA 密 钥 交 换 的 过 程 十 分 直截了当 








。 客 户 端 生 成 预 主 密 钥 ( 46 字 节 随 机 数 )， 使 用 服务 器 公 
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钥 对 其 加 密 , 将 其 包含 在 ClientKeyExchange 消 息 中 , 最 后 发 送出 去 。 服 务 器 只 需要 解密 这 条 消息 
就 能 取出 预 主 密 钥 。TLS 使 用 的 是 RFC 3447" 定 义 的 RSAES-PKCS1-v1 5 加 密 方案 

注意 

因为 RSA 算 法 可 以 同时 用 于 加 密 和 数字 签名 , 所 以 RSA 密 钥 交 换 可 以 按照 这 种 方式 工 

作 。 其 他 流行 的 密 钥 类 型 ， 比 如 DSA (DSS ) 和 ECDSA， 只 能 用 于 签名 。 


RSA 密 钥 交 换 的 简单 性 也 是 它 最 大 的 弱点 。 用 于 加 密 预 主 密 钥 的 服务 器 公 钥 , 一般 会 保持 多 

不 变 。 任 何 能 够 接触 到 对 应 私 钥 的 人 都 可 以 恢复 预 主 密 钥 ,并 构建 相同 的 主 密 钥 ， 从 而 危害 到 
。 士 。 

对 目标 的 攻击 并 不 需要 实时 进行 , 强大 的 对 手 可 以 制定 长 期 行动 。 攻 击 者 会 记录 所 有 加 密 的 
流量 ,耐心 等 待 有 朝 一 日 可 以 得 到 密 钥 。 比 如 ,计算 机 能 力 的 进步 使 暴力 破解 成 为 可 能 ; 也 可 以 
通过 法 律 强制 力 、 政 治 高 压 、 贿 赂 或 强行 进入 使 用 该 密 钥 的 服务 器 来 取得 密 钥 。 只 要 密 铀 泄露 ， 
就 可 以 解密 之 前 记录 的 所 有 流量 了 。 

TLS 中 其 他 常见 的 密 钥 交 换 方式 都 不 受 这 个 问题 的 影响 ,被 称 为 支持 前 向 保密 。 使 用 那些 密 
钥 交 换 时 ,每 个 连接 使 用 的 主 密 钥 相互 独立 。 泄露 的 服务 器 密 钥 可 以 用 于 冒充 服务 器 , 但 不 能 
于 追溯 解密 任何 流量 。 


























2.3.2 ”Diffie-Hellman 密 钥 交换 


Diffie-Hellman (DH ) 密 钥 交换 是 一 种 密 钥 协定 的 协议 ， 它 使 两 个 团体 在 不 安全 的 信道 上 生 
共享 密 钥 成 为 可 能 ”。 


注意 
a de 受到 被 动 攻击 的 威胁 , 但 主动 攻击 者 却 可 以 支持 通信 
信道 ， 冒 充 对 端 。 这 就 是 DH 密 钥 交换 通常 与 身份 验证 联合 使 用 的 原因 。 


抛 开 算 法 的 细节 ，DH 的 诀窍 是 使 用 了 一 种 正 向 计算 简单 、 逆 向 计算 困难 的 数学 函数 ， 即 使 
交换 中 某 些 因子 已 被 知晓 ,情况 也 是 一 样 。 最 恰当 的 类 比 示例 是 混 色 : 如 果 有 两 种 颜色 , 那么 很 
容易 将 其 混在 一 起 得 到 第 三 种 颜色 ; 但 是 如 果 只 有 第 三 种 颜色 的 话 , 就 很 难 确定 究 竞 它 是 由 哪 两 
种 颜色 混合 而 成 的 ”。 

DH 密 钥 交换 需要 6 个 参数 ， 其 中 两 个 (dh_p 和 dh_g ) 称 为 域 参 数 ， 由 服务 器 选取 。 协 商 过 程 
中 ， 客 户 端 和 服务 器 各 自生 成 男 外 两 个 参数 ， 相 互 发 送 其 中 一 个 参数 dh_Ys 和 dh_Yc ) 到 对 端 ， 














QD RFC 3447: RSA Cryptography Specifications Version 2.1, http://tools.ietf.org/html/rfc3447 ( Jonsson 和 Kaliski，2003 年 
2 月 )。 

© Diffie-Hellman key exchange, https://en.wikipedia.org/wiki/Diffie-Hellman key_exchange ( 维基 百科 ， 检索 于 2014 

年 6 月 18 日 )。 

@) Public Key Cryptography: Diffie-Hellman Key Exchange, https:Wwww.youtube.com/watch?v=3QnD2c4Xovk( YouTube， 
检索 于 2014 年 6 月 26 日 )。 
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再 经 过 计算 ， 最 终 得 到 共享 密 钥 。 


临时 Diffie-Hellman ( ephemeral Diffie-Hellman, DHE ) 密 钥 交换 中 没有 任何 参数 被 重复 使 


用 。 

















些 参 娄 


人 


与 之 相对 ， 在 一 些 DH 密 钥 交 换 方式 中 ， 某 





是 静态 的 ， 并 被 伐 入 到 服务 器 和 客户 端的 证 书 














中 。 这 样 的 话 ， 密 钥 交 换 的 结果 是 一 直 不 变 的 共享 密 钥 ， 就 无 法 具备 前 向 保密 的 能 
TLS 支 持 静态 DH 密 钥 交 换 ， 但 无 人 使 用 。 在 协商 DHE 套 件 时 ， 服 务 器 将 其 所 有 参数 填 人 


ServerDHParams 块 并 发 送 : 


struct { 
opaque dh _p; 
opaque dh g; 
opaque dh Ys; 
} ServerDHParams; 


客户 端 响应 并 发 送 其 公开 参数 ( dh_Yc ): 


struct { 
select (PublicValueEncoding) { 
case implicit: 


case explicit: 
opaque dh Yc; 
} dh_public; 
} ClientDiffieHellmanpPublic; 
当前 使 用 的 DH 交换 存在 以 下 这 些 现 实 问 题 。 
口 DH 参数 的 安全 性 


DH 密 钥 交 换 的 安全 性 取决 于 域 参数 的 质量 。 服 务 器 发 送 弱 的 或 者 不 安全 的 参数 ， 将 对 会 





话 的 安全 性 造成 损害 。 这 个 问题 在 一 篇 研 

点 论述 ， 弱 DH 参 数 被 用 作 一 种 攻击 向 
口 DH 参数 协商 

TLS 并 没有 为 客户 端 提供 传递 期 望 使 月 


= 
四 











待 DH 人 参数 可 以 被 客户 端 接受 。 
口 参数 强度 不 够 


目的 DH 人 参数 的 强度 的 设施 。 比 如 ， 客 户 端 可 能 
避免 使 用 弱 参 数 ， 抑 或 可 能 不 支持 强 参数 。 因 此 ， 选 择 DHE 套 件 的 服务 器 事实 上 只 


究 论 文 “Triple Handshake Attack” 中 进行 过 重 


O 


望 
期 


希 
能 


以 历史 角度 来 说 ，DH 参 数 很 大 程度 上 被 忽略 了 ， 其 安全 性 也 被 忽视 了 。 许 多 库 和 服务 器 


上 








默认 使 用 弱 DH 人 参数， 而 且 经 常 不 提供 配置 DH 参 数 强度 的 方法 。 因 此 ， 服 务 器 使 用 1024 


位 弱 参 数 、768 位 非 安全 参数 ， 更 有 其 者 使 用 512 位 参数 ， 这 些 情况 都 很 常见 。 直 到 最 近 ， 


一 些 平 台 才 开始 使 用 2048 位 或 者 更 高 位 数 





的 强 参数 。 





2015 年 5 月 披露 的 Logjam 攻 击 表明 , 512 位 的 DH 参数 在 使 用 合适 资源 的 情况 下 可 以 被 攻击 
者 在 很 短 的 时 间 内 成 功利 用 ， 同 时 可 以 估计 厉害 的 攻击 者 甚至 可 能 利用 768 位 的 参数 。 同 
样 的 研究 还 强调 非常 厉害 的 攻击 者 甚至 有 可 能 可 以 攻破 那些 被 广泛 使 用 的 、 长 度 为 1024 














山 














@) 要 想 了 解 有 关 三 次 握手 攻 





6 的 更 多 信息 ， 








请 参考 7.6 节 。 
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位 的 标准 参数 组 ， 从 而 以 被 动 方 式 入 侵 数 以 百 万 计 的 互联 网 服务 器 。 在 6.5 节 中 可 以 找到 
有 关 此 问题 的 更 多 信息 。 
这 些 问题 可 以 通过 对 不 同 强度 的 域 参数 定义 来 进行 标准 化 ,或 者 扩展 TLS 人 允许 客户 端 告知 其 
启 好 的 方法 来 解决 。 








2.3.3 ”椭圆 曲线 Diffie-Hellman 密 钥 交换 


临时 椭圆 曲 线 Diffie-Hellman (elliptic curve Diffie-Hellman, ECDH ) 密 钥 交 换 原 理 与 DH 相 似 ， 
但 它 的 核心 使 用 了 不 同 的 数学 基础 。 正 如 名 称 所 示 ，ECDHE 基 于 椭圆 曲线 (elliptic curve，EC ) 
加 密 。 

ECDH 密 钥 交换 发 生 在 一 条 由 服务 器 定义 的 特定 的 椭圆 曲线 上 。 这 条 曲线 代替 了 DH 中 域 参数 
的 角色 。 理 论 上 ,ECDH 支 持 静 态 的 密 钥 交换 ,但 实际 使 用 时 , 只 使 用 了 这 种 临时 的 变种 (ECDHE )。 

密 钥 交换 由 服务 器 发 起 ， 它 选择 一 条 椭圆 曲线 和 公开 参数 ( EC point ) 并 提交 : 


struct { 
ECParameters curve params; 
ECPoint public; 

} ServerECDHParams; 


服务 器 可 以 为 密 钥 交 换 明 确 指 定 任意 一 条 曲线 , 但 TLS 并 未 使 用 这 个 功能 。 作为 奉 代 , 在 TLS 
中 ， 服 务 器 通过 指定 某 个 名 称 引 用 一 条 可 能 预先 定义 好 参数 的 曲线 (命名 曲线 ，named curve ): 


struct { 
ECCurveType curve type; 
select (curve type) { 
case explicit prime: 
/* 为 了 清晰 ， 咯 去 */ 
case explicit char2: 
/* 为 了 清晰 ， 咯 去 */ 
case named curve: 
NamedCurve namedcurve; 
































} Ee 
然后 客户 端 提交 自己 的 公开 参数 。 在 那 以 后 ， 就 可 以 计算 预 主 密 钥 


struct { 
select (PublicValueEncoding) { 
case implicit: 
/* 空 的 */ 
case explicit: 
ECPoint ecdh Yc; 
} ecdh public; 
} ClientECDiffieHellmanPublic; 


使 用 预定 义 参 数 ， 以 及 ellipic curve 扩展 (客户 端 可 以 提交 支持 的 曲线 )， 可 以 使 服务 器 选 








QD Negotiated Finite Field Diffie-Hellman Ephemeral Parameters for TLS, https://datatracker.ietf.org/doc/draft-ietf-tls- 
negotiated-ff-dhe/ ( D. Gillmor，2015 年 6 月 )。 
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择 一 条 双方 都 支持 的 曲线 。 你 可 以 在 2.12.3 节 中 找到 更 多 有 关 命 名 曲线 的 可 用 信息 。 


2.4 ”身份 验证 


在 TLS 中 , 为 了 避免 重复 执行 密码 操作 造成 巨大 开销 , 身份 验证 与 密 钥 交换 紧 紧 捆绑 在 一 起 。 
大 多 数 场 景 中 ， 身 份 验证 的 基础 是 证 书 支持 的 公 钥 密码 ( 最 常见 的 是 RSA， 有 时 也 用 ECDSA )。 
一 且 证 书 验 证 通过 ,客户 端 就 知道 了 使 用 的 公 钥 。 在 此 之 后 ,客户 端 将 公 钥 交 给 指定 的 密 钥 交换 
算法 ， 并 由 它 负责 以 某 种 方式 使 用 公 钥 验证 另 一 端 。 

在 RSA 密 钥 交换 的 过 程 中 , 客户 端 生成 一 个 随机 值 作为 预 主 密 钥 , 并 以 服务 器 公 钥 加 密 后 发 
送出 去 。 拥 有 对 应 私 钥 的 服务 器 解码 消息 得 到 预 主 密 钥 。 身 份 验 证 原理 很 清楚 : 只 有 拥有 对 应 私 
钥 的 服务 器 才能 取得 预 主 密 钥 ， 构 造 正 确 的 会 话 密 钥 ， 并 生成 正确 的 Finished 消 息 。 

在 DHE 和 ECDHE 的 交换 过 程 中 , 服务 器 为 密 钥 交换 提供 自己 的 参数 , 并 使 用 自己 的 私 钥 签 名 。 
客户 端 持 有 对 应 的 公 钥 ( 从 已 验证 的 证 书 中 获得 )， 可 以 验证 参数 是 否 真 正 出 自 期 望 的 服务 器 。 


注意 

服务 器 参数 是 与 客户 端 和 服务 器 随机 值 连 在 一 起 进行 签名 的 , 而 客户 端 和 服务 器 随机 
值 对 于 握手 来 说 是 唯一 的 。 因 而 ， 即 使 签名 是 以 明文 方式 发 送 的 ， 它 也 只 对 当前 握手 
有 效 ， 这 意味 着 攻击 者 无 法 重用 该 签名 。Logjam 攻 击 显示 了 这 种 将 签名 绑 定 在 握手 过 
程 上 面 的 葬 端 ; 主动 网 络 攻击 者 可 以 同步 产生 这 个 随机 值 ， 并 且 在 某 些 情况 下 再 次 利 
用 服务 器 签名 。 






























































2.5 加密 





TLS 可 以 使 用 各 种 方法 加 密 数 据 , 比如 使 用 DES 、AES、ARIA 、CAMELLIA 、RC4 或 者 SEED 
等 算法 。 目 前 使 用 最 为 广泛 的 加 密 算法 是 AES。TLS 支 持 三 种 加 密 类 型 : 序列 密码 、 分 组 密码 和 
已 验证 的 加 密 。 在 TLS 中 ， 完 整 性 验证 是 加 密 人 处理 的 一 部 分 ; 它 要 么 在 协议 级 中 显 式 处 理 ， 要 人 么 
由 协商 的 密码 隐 式 处 理 。 




















2.5.1 序列 加 密 


使 用 序列 密码 时 ， 加 密 由 两 步 组 成 。 第 一 步 ， 计 算 MAC 值 ， 范 围 包 含 记录 序列 号 、 标 头 、 
明文 。MAC 包 含 标 头 能 确保 未 进行 加 密 的 标 头 不 会 遭受 算 改 。MAC 包 括 序列 号 ， 能 确保 消息 不 
被 重 放 。 第 二 步 ， 加 密 明 文 和 MAC， 生 成 密 文 。 整 个 过 程 如 图 2-5 所 示 。 

注意 
使 用 完整 性 验证 但 不 进行 加 密 的 套件 与 使 用 序列 密码 加 密 的 套件 以 相同 的 方式 实现 。 
明文 被 简单 地 复制 到 TLS 记 录 中 ， 而 MAC 则 以 这 里 描述 的 方法 计算 。 
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序列 号 明文 


身份 验证 














明文 MAC 














图 2-5 ”序列 加 密 





2.5.2 ”分 组 加 密 


使 用 分 组 密码 时 ,加 密会 涉及 更 多 内 容 , 因为 需要 为 分 组 加 密 的 特性 准备 解决 方案 。 具 体 来 
说 ,需要 以 下 几 个 步骤 ， 如 图 2-6 所 示 。 

(1) 计算 序列 号 、 标 头 和 明文 的 MAC。 

(2) 构造 填充 ， 确 认 加 密 前 的 数据 长 度 是 分 组 大 小 (通常 16 字 节 ) 的 整数 倍 。 

(3) 生成 一 个 长 度 与 分 组 大 小 一 致 的 不 可 预期 的 初始 向 量 (initialization vector，IV )。IV 能 保 
证 加 密 是 不 确定 的 。 

(4) 使 用 CBC 分 组 模式 加 密 明 文 、MAC 和 填充 。 

(5) 将 IV 和 密 文 一 起 发 送 。 

注意 
| 可 以 在 1.4.1 节 找到 有 关 CBC 分 组 模式 、 填 充 和 初始 向 量 的 更 多 信息 。 
































这 种 处 理 方式 被 称 为 先 计 算 MAC， 再 加 密 ( MAC-then-encrypt )， 而 它 也 是 很 多 问题 的 源头 。 
在 TLS 1.1 和 更 新 的 版 本 中 , 每 条 记录 中 都 包含 显 式 IV; 而 TLS 1.0 和 以 往 的 版 本 则 使 用 隐 式 IV( 使 
用 前 一 个 TLS 记 录 中 的 加 密 块 作为 下 一 块 的 IV )， 但 这 在 2011 年 被 发 现 并 不 安全 "。 

另 一 个 问题 是 MAC 计 算 不 包括 填充 , 这 给 主动 网 络 攻击 者 进行 填充 预示 攻击 (padding oracle 
attack ) 提供 了 机 会 (有 成 功 攻 击 TLS 的 示例 ”)。 这 里 的 问题 其 实 是 , 协议 定义 的 分 组 加 密 方 式 在 
现实 中 很 难 安全 地 实现 。 就 我 们 所 知 ,现在 的 实现 并 没有 明显 表现 出 易 受 攻击 , 但 仍然 不 能 对 这 












































Qa 这 个 问题 首先 被 称 为 BEAST 的 攻击 所 利用 。 关 于 BEAST， 我 将 在 7.2 节 中 进行 讨论 。 
@) 我 将 在 7.4 节 中 讨论 坛 充 预 示 攻 击 。 
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个 弱点 掉以轻心 。 
序列 号 。 || 标 头 明文 
| | 
身份 验证 
明文 MAC 填充 
| | 
加 密 











图 2-6 分 组 加 密 
男 一 种 处 理 安排 方式 的 提案 称 为 先 加 密 ， 再 计算 MAC ( encrypt-then-MAC )， 最 近 才 被 公开 
提出 "。 在 这 种 替代 方案 中 ， 首 先 对 明文 和 填充 进行 加 密 ， 再 将 结果 交 给 MAC 算 法 。 这 可 以 保证 
主动 网 络 攻击 者 不 能 操纵 任何 加 密 数 据 。 




















2.5.3 已 验证 的 加 密 


已 验证 的 密码 将 加 密 和 完整 性 验证 合 二 为 一 ， 全 名 是 使 用 关联 数据 的 已 验证 加 密 
(authenticated encryption with associated data，AEAD )。 表 面 上 ， 它 看 起 来 是 序列 密码 和 分 组 密码 
的 交叉 。 它 不 用 填充 ?， 也 不 用 初始 向 量 ， 而 是 使 用 一 个 特殊 的 值 ， 称 为 nonce (在 加 密 通信 中 仅 
使 用 一 次 的 密 钥 )。 这 个 值 必须 唯一 。 加 密 过 程 比 使 用 分 组 密码 要 简单 一 些 ， 如 图 2-7 所 示 。 

(1) 生成 一 个 唯一 的 64 位 nonce。 

(2) 使 用 已 验证 加 密 算法 加 密 明 文 ; 同时 也 将 序列 号 和 记录 标 头 作为 完整 性 验证 依据 的 额外 
数据 交 给 算法 。 

(3) 将 nonce 和 密 文 一 起 发 送 。 

已 验证 加 密 被 认为 是 当前 TLS 中 可 用 的 加 密 模 式 中 最 好 的 一 种 ， 因 为 它 可 以 避免 MAC-then- 
encrypt 方 式 带 来 的 问题 。 虽然 TLS 当 前 定义 基于 GCM 和 CCM 块 模式 的 已 验证 套件 ， 实 际 上 仪 支 
持 GCM 套 件 。 基 于 ChaCha20 流 密码 的 全 新 已 验证 套件 当前 正在 进行 标准 化 *。 






















































































QD RFC 7366: Encrypt-then-MAC for TLS and DTLS, https://datatracker.ietf.org/doc/rfe7366/ ( Peter Gutmann, 2014 年 9 月 )。 

@) 实际 上 ， 它 们 不 一 定 会 使 用 填充 。 即 使 它们 使 用 的 话 ， 也 是 实现 细节 ， 不 会 暴露 给 TLS 协 议 。 

G@) The ChaCha20-Poly1305 AEAD Cipher for TLS, https://datatracker.ietf.org/doc/draft-ietf-tls-chacha20-poly1305/ ( Langley 
等 ，2015 年 6 月 )。 
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加 密 














已 验证 加 密 

















图 2-7 已 验证 加 密 





2.6 重新 协商 


大 部 分 TLS 连 接 都 以 握手 作为 起 点 ， 经 过 应 用 数据 的 交换 ， 最 后 关闭 会 话 。 但 如 果 请 求 重新 协 
商 ， 就 会 发 起 一 次 新 的 握手 ， 对 新 的 连接 安全 参数 达成 一 致 。 这 个 功能 在 以 下 这 些 情形 下 很 有 用 。 
口 客户 端 证 书 
客户 端 证 书 并 不 常用 ， 但 因为 它 可 以 提供 双 因 素 身份 验证 ， 所 以 还 是 有 一 些 网 站 在 使 用 
它 。 部 署 客户 端 证 书 有 两 种 方法 。 你 可 以 要 求 连接 到 网 站 的 所 有 连接 都 需要 客户 端 证 书 ， 
但 是 这 种 方式 对 那些 (还 ) 没有 证 书 的 使 用 者 并 不 友好 ; 在 连接 成 功 以 前 ， 你 无 法 向 它 
们 发 送 任何 信息 和 说 明 。 处 理 错误 的 情况 同样 不 可 能 。 因 此 ， 许 多 操作 员 会 选择 允许 连 
接 到 网 站 根 路 径 的 连接 不 携带 证 书 ， 并 设计 一 个 需要 提供 客户 端 证 书 的 子 区 域 。 当 用 户 
打算 浏览 子 区 域 时 ， 服 务 器 发 起 重新 协商 请 求 ， 要 求 客 户 端 提供 证 书 。 
口 隐藏 消息 
上 述 的 双 步 控制 方式 使 客户 端 证 书 具 备 了 一 个 额外 的 优势 : 因为 第 二 次 握手 是 加 密 的 ， 
这 意味 着 被 动 攻击 者 无 法 监视 协商 ， 而 且 最 关键 的 是 攻击 者 根本 无 法 观察 到 客户 端 证 书 。 
这 解决 了 非常 重要 的 潜在 隐私 问题 ， 因 为 客户 端 证 书 通常 包含 身份 识别 信息 。 比 如 ，Tor 
协议 就 是 用 这 种 方式 进行 重新 协商 的 ”。 
口 改变 加 密 强 度 
以 前 ， 当 网 站 加 密 刚 刚 出 现 ( 而 且 是 CPU 密 集 的 ) 的 时 候 ， 经 党 可 以 发 现 网 站 将 加 密 配 
置 分 成 两 个 级 别 。 你 可 以 默认 使 用 比较 弱 的 加 密 ， 而 在 特定 区 域 使 用 强加 密 ”。 如 果 要 使 
用 客户 端 证 书 ， 则 通过 重新 协商 实现 这 个 功能 。 当 你 尝试 进入 网 站 中 更 安全 的 子 区 域 时 ， 
服务 器 将 请 求 更 强 的 安全 性 。 



































































































































QD Tor Protocol Specification, https://gitweb.torproject.org/torspec.git?a=blob_plain;hb=HEAD;f=tor-spec.txt ( Dingledine 
和 Mathewson， 检 索 于 2014 年 6 月 30 日 )。 

@) 这 种 想法 本 身 就 是 问题 。 你 的 加 密 要 么 足够 安全 要 么 就 是 不 安全 。 如 果 你 的 敌对 方 可 以 攻 入 较 弱 的 配置 ， 他 们 就 
可 以 完全 控制 牺牲 者 的 浏览 器 。 做 到 那样 的 话 ， 他 们 可 以 欺骗 牺牲 者 将 所 有 秘密 揭示 出 来 〈 比如 密码 )。 
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此 外 , 在 以 下 两 种 情况 下 协议 需要 使 用 重新 协商 , 不 过 这 两 种 情况 在 实际 工作 中 都 不 大 可 能 
发 生 。 

口 服务 网 关 密 码 

20 世 纪 90 年 代 ， 美 国 还 未 允许 出 口 强 密码 算法 ， 一 个 称 为 服务 网 关 密 码 ( Server-Gated 
Crypto, SGC ) 的 功能 使 美国 供应 商 能 够 将 强 密码 算法 输出 到 世界 范围 , 但 仅 对 选 定 的 ( 主 
要 是 金融 业 的 ) 美国 网 站 有 效 。 浏 览 器 默认 使 用 的 是 弱 加 密 ， 遇 到 特定 证 书 以 后 升级 至 
强 证 书 。 整 个 升级 过 程 由 客户 端 控制 ， 通 过 重新 协商 实现 。 只 有 少数 选 定 的 CA 获得 允许 
签发 这 种 特定 证 书 。 密 码 输 出 限制 于 2000 年 解除 ，SGC 随 之 废弃 。 

口 TLS 记 录 的 计数 器 溢出 

TLS 内 部 将 数据 包装 成 记录 ,并 为 每 个 记录 指定 唯一 的 64 位 序列 号 。 每 当 发 生 记 录 交 换 时 ， 
序列 号 就 随 之 增长 。 一 旦 序列 号 接近 溢出 ， 协 议 就 会 强制 执行 重新 协商 。 然 而 ， 因 为 这 
个 计数 器 本 身 的 数字 就 非常 大 ， 所 以 实践 中 不 太 可 能 出 现 溢 出 。 

协议 允许 客户 端 在 任意 时 间 简 单 地 发 送 新 的 ClientHello 消 息 请 求 重新 协商 ， 就 如 同 建立 一 
个 全 新 的 连接 一 样 ， 这 被 称 为 客户 端 发 起 的 重新 协商 (client-initiated renegotiation )。 

如 果 服 务 器 希望 重新 协商 ， 它 会 发 送 HelloRequest 协 议 消息 给 客户 端 。 这 个 消息 通知 客户 端 
停止 发 送 应 用 数据 ， 并 开始 新 的 握手 ， 这 被 称 为 服务 器 发 起 的 重新 协商 〈 server-initiated 
Tenegotiation )。 

正如 原本 设计 的 那样 ， 重 新 协商 并 不 安全 ,并且 可 被 主动 网 络 攻击 者 以 很 多 方式 滥用 。 它 的 
弱点 于 2009 年 被 发 现 ”, 然后 通过 引进 renegotiation info 扩 展 得 以 修正 。 我 将 在 本 章 后 面 对 这 个 
扩展 进行 讨论 。 


2.7 ”应 用 数据 协议 


应 用 数据 协议 携带 着 应 用 消息 ， 只 以 TLS 的 角度 考虑 的 话 ， 这 些 就 是 数据 缓冲 区 。 记 录 层 使 
用 当前 连接 安全 参数 对 这 些 消息 进行 打包 、 碎 片 整理 和 加 密 。 


2.8 警报 协议 


警报 的 目的 是 以 简单 的 通知 机 制 告知 对 端 通信 出 现 异 常 状 况 。 它 通常 会 携带 close_notify 异 
常 ， 在 连接 关闭 时 使 用 ， 报 告 错误 。 和 警报 非常 简单 ， 只 有 两 个 字段 ; 
struct { 
AlertLevel level; 


AlertDescription description; 
} Alert; 


AlertLevel 字 段 表 示警 报 的 严重 程度 ,可 有 取 值 warning 或 者 fatal。AlertDescription 直 接 表示 
警报 代码 。 不 论 这 种 设计 是 好 是 坏 ， 和 警报 都 没有 表达 任意 信息 的 能 力 ， 比 如 实际 的 错误 提示 。 






















































































































































































@ 要 了 解 更 多 信息 ， 请 参考 7.1 节 。 
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严重 程度 为 fatal 的 消息 会 立即 终止 当前 连接 并 使 会 话 失 效 〈 相同 会 话 的 其 他 正在 进行 的 连 
接 会 继续 ,但 会 话 绝 不 可 能 恢复 了 )。 发 送 警告 通知 的 一 端 不 会 主动 终止 连接 ， 而 是 交 由 接收 端 
通过 发 送 它 自 己 的 严重 警报 对 该 警告 自行 作出 反应 。 


2.9 关闭 连接 


关闭 连接 警报 (closure alert ) 用 于 以 有 序 的 方式 关闭 TLS 连 接 。 一 旦 一 端 决定 关闭 连接 ， 就 
会 发 送 一 个 close_notify 警 报 。 男 一 端 收 到 这 个 警报 以 后 ,会 丢弃 任何 还 未 写 出 的 数据 ， 并 发 送 
自己 的 close_notify 警 报 。 在 警报 之 后 到 来 的 任何 消息 都 将 被 忽略 。 

这 个 关闭 协议 虽然 简单 , 但 它 可 以 避免 截断 攻击 ,也 就 是 主动 攻击 者 打 断 通信 过 程 ， 阻 断 所 
有 后 续 消 息 的 攻击 ,因而 是 必需 的 。 如 果 没 有 关闭 协议 ,通信 双方 就 无 法 确认 是 遭 到 攻击 还 是 通 
信和 真正 结束 。 


注意 
虽然 协议 自身 不 易 遭 到 截断 攻击 ,但 是 其 许多 实现 却 容易 遭 到 攻击 ， 因 为 连接 关闭 协 
议 的 冲突 非常 普遍 。 我 将 在 6.7 节 中 讨论 这 个 问题 。 


2.10 密码 操作 
本 节 会 对 协议 中 一 些 重要 的 方面 进行 简单 讨论 : 伪 随 机 函数 、 构 建 主 密 钥 和 生成 连接 密 钥 。 
2.10.1 伪 随 机 函数 


在 TLS 中 , 伪 随 机 函数 ( pseudorandom function, PRF ) 用 于 生成 任意 数量 的 伪 随 机 数据 。PRF 
使 用 一 条 秘密 、 一 颗 种 子 和 一 个 唯一 标签 。 从 TLS 1.2 起 ， 所 有 的 算法 套件 都 需要 明确 指定 它们 
的 PRF。 所 有 TLS 1.2 套 件 都 使 用 基于 HMAC 和 SHA256 的 PRF。 以 TLS 1.2 协 商 的 过 往 老 套件 也 会 
使 用 与 此 相同 的 PRF。 

TLS 1.2 定 义 的 PRF 基 于 数据 扩展 函数 P_hash， 这 个 函数 使 用 了 HMAC 和 一 个 任意 散 列 函数 : 


Pp_hash(secret, seed) = HMAC hash(secret, A(1) + seed) + 
HMAC hash(secret, A(2) + seed) + 
HMAC hash(secret, A(3) + seed) + 



















































































A(i) 函 数 定 义 如 下 : 
A(1) = HMAC hash(secret, seed) 
) = HMAC hash(secret, A(1)) 


A( = HMAC hash(secret, A(i-1)) 
PRF 则 是 结合 标签 和 种 子 对 P_hash 的 封装 : 


PRF(secret, label, seed) = P_hash(secret, label + seed) 
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引入 种 子 和 标签 允许 在 不 同 的 环境 中 重用 相同 的 秘密 , 而 且 能 够 生成 不 同 的 输出 ( 因为 标签 
和 种 子 不 同 )。 


2.10.2 主 密 钥 


前 面 大 家 已 经 看 到 ， 密 钥 交换 过 程 的 输出 是 预 主 密 钥 。 对 这 个 值 进 行进 一 步 加 工 ， 就 是 使 用 
PRF 生 成 48 字 节 (384 位 ) 主 密 钥 : 


master secret = PRF(pre master secret, "master secret", 
ClientHello.random + ServerHello.random) 


因为 使 用 不 同 的 密 钥 交换 方法 ,得 到 的 预 主 密 钥 长 度 可 能 不 同 , 所 以 需要 执行 这 个 步 又 。 同 
时 ， 因 为 客户 端 和 服务 器 的 随机 字段 被 用 作 种 子 ， 所 以 主 密 钥 实际 上 也 是 随机 的 "， 且 与 协商 握 
手 绑 定 。 


注意 

主 密 钥 和 握手 之 间 的 结合 点 只 是 计算 主 密 钥 依赖 交换 的 随机 数 , 并 已 经 表现 出 这 是 不 
充分 的 。 攻击 者 可 以 观察 并 复制 这 些 值 ， 从 而 创建 共用 相同 主 密 钥 的 多 个 会 话 。 这 个 
弱点 已 被 之 前 提 到 的 三 次 握手 攻击 所 利用 2 。 


2.10.3” 密 钥 生 成 
连接 所 需 的 密 钥 材料 是 用 单一 的 PRF 调 用 基于 主 密 钥 和 客户 端 、 服 务 器 的 随机 数 生成 的 ; 


key_block = PRF(master secret, "key expansion", 
server random + client random) 


密 钥 块 的 长 度 根据 协商 的 参数 而 有 所 不 同 。 密 钥 块 分 为 六 个 密 钥 : 两 个 MAC 密 钥 、 两 个 加 

密 密 钥 和 两 个 初始 向 量 ( 只 在 必要 时 生成 ; 序列 密码 不 会 使 用 IV )。AEAD 套 件 不 使 用 MAC 密 钥 。 
不 同 的 密 钥 用 于 不 同 的 操作 , 这 样 可 以 预防 当 共 享 相同 密 钥 时 , 密 钥 学 基 元 之 间 出 现 不 可 预见 的 
交互 。 同样 ， 因 为 客户 端 和 服务 器 都 拥有 各 自 的 一 组 密 钥 ， 由 其 中 一 方 产生 的 消息 不 会 被 解释 成 
是 由 男 一 方 产生 的 。 这 个 设计 决策 使 协议 更 加 可 靠 。 

注意 

当 恢 复 会 话 时 ,在 生成 密 钥 块 时 使 用 相同 的 主 密 钥 ， 但 PRF 以 当前 握手 时 客户 端 和 服 

务 器 的 随机 值 进行 种 子 设 定 。 因 为 每 次 握手 时 的 随机 值 都 不 同 , 所 以 密 钥 每 次 也 不 同 。 





















































中 虽然 绝 大 多 数 平时 常用 的 密 钥 交换 机 制 每 次 都 会 生成 不 同 的 预 主 密 钥 , 但 也 有 一 些 机 制 依赖 长 期 密 钥 ， 因 此 会 
用 相同 的 预 主 密 钥 。 所 以 必须 使 用 随机 化 以 确保 密 钥 不 会 重复 。 
@) 要 想 了 解 有 关 三 次 握手 攻击 的 更 多 信息 ， 请 参考 7.6 节 。 
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2.11 密码 套件 


如 你 所 见 ，TLS 为 实现 所 需 的 安全 属性 提供 了 非常 大 的 灵活 性 。 它 是 一 个 创造 实际 密码 协议 的 
框架 。 虽 然 以 往 版 本 将 某 些 加 密 基 元 硬 编码 到 了 协议 中 ,但 TLS 1.2 是 完全 可 配置 的 。 密 码 套件 是 
一 组 选 定 的 加 密 基 元 和 其 他 参数 ， 它 可 以 精确 定义 如 何 实现 安全 。 套 件 大致 由 以 下 这 些 属 性 定义 。 
口 身份 验证 方法 
口 密 钥 交换 方法 
口 加 密 算法 
口 加 密 蜜 钥 大 小 
口 密码 模式 ( 可 应 用 时 ) 

口 MAC 算 法 (可 应 用 时 ) 

口 PRF (只 有 TLS 1.2 一 定 使 用 ， 其 他 版 本 取决 于 各 自 协 议 ) 
口 用 于 Finished 消 息 的 散 列 函数 (TLS 1.2 ) 

D verify_data 结 构 的 长 度 (TLS 1.2 ) 

密码 套件 都 倾向 于 使 用 较 长 的 描述 性 名 称 , 并 且 相 当 一 致 : 它们 都 由 密 钥 交换 方法 、 身 份 验 
证 方法 、 密 码 定义 以 及 可 选 的 MAC 或 PRF 算 法 组 合 而 成 "， 如 图 2-8 所 示 。 













































































TLS_ECDHE_RSA_WITH_AES_128_6CM_SHA256 


二 下 


密 钥 交换 密码 MAC 或 PRF 














图 2-8 ”密码 套件 名 称 构成 


虽然 套件 名 称 传达 所 有 安全 性 参数 时 并 不 充分 ， 但 借 其 可 以 轻松 推断 出 最 重要 的 那些 参数 。 
此 外 ， 其 他 参数 则 可 以 在 RFC 上 通过 套件 定义 找到 。 你 可 以 在 表 2-2 中 看 到 少量 精 选 套件 的 安全 












































性 属性 。 在 撰写 这 本 书 的 时 候 , 已 经 有 超过 300 种 官方 密码 套件 ， 所 以 不 能 全 部 罗列 在 这 里 。 如 
果 想 得 到 完整 列表 ， 请 访问 IANA 上 的 TLS 官 方 页 面 ”。 
表 2-2 ”密码 套件 的 名 称 和 其 安全 性 属性 的 示例 
密码 套件 名 称 身份 验证 。” 密 钥 交换 密码 MAC PRF 
TLS_ECDHE RSA WITH AES 128 GCM SHA256 RSA ECDHE AES-128-GCM 三 SHA256 
TLS_ECDHE ECDSA WITH AES 256 GCM SHA384 ECDSA ECDHE AES-256-GCM SHA384 






































QTLS 套 件 会 使 用 TLS_ 前 级 ,而 SSL 3 套件 使 用 SSL_ 前 级 ，SSL2 套 件 使 用 SSL_CK_ 前 级。 在 所 有 场景 中 ， 这 个 命名 
方法 大 致 都 是 相同 的 。 可 是 ， 并 非 所 有 供应 商都 使 用 标准 套件 命名 。OpenSSL 和 GnuTLS 就 使 用 不 同 的 命名 。 
Microsoft 基 本 上 会 使 用 标准 命名 ， 但 有 时 使 用 前 级 扩展 它们 ， 以 指明 ECDHE 密 钥 交 换 的 强度 。 

©® TLS Parameters, https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml ( IANA ， 检 索 于 2014 年 6 月 30 日 )。 
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密码 套件 名 称 


身份 验证 





TLS_DHE_RSA WITH 3DES EDE CBC SHA 
TLS RSA WITH AES 128 CBC SHA 
TLS ECDHE ECDSA WITH AES 128 CCM 





RSA 
RSA 
ECDSA 


( 续 ) 
密码 MAC PRF 
3DES-EDE-CBC SHA1 协议 
AES-128-CBC SHA1 协议 
AES-128-CCM 一 SHA256 


随 着 TLS 1.2 的 引进 ( 允许 定义 额外 定制 的 参数 ， 比 如 PRF ) 以 及 已 验证 套件 的 引进 , 为 了 全 





面 解析 密码 套件 名 称 ， 需 要 在 某 种 程度 上 理解 其 实现 。 
口 已 验证 套件 结合 了 密码 学 的 身份 验证 和 加 密 ， 这 意味 TLS 这 一 层 无 需 执行 完整 性 验证 。 


GCM 套 件 使 用 名 称 的 最 后 一 段 指明 使 用 的 PRF 算 法 ， 而 非 MAC 算 法 。 另 外 CCM 套 件 则 将 


最 后 一 段 完 全 省 略 。 




















口 TLS 1.2 是 唯一 允许 套件 定义 其 PRF 的 协议 。 对 于 TLS 1.2 以 前 就 已 定义 的 套件 ， 由 协商 的 
协议 版 本 控制 PRF。 以 TLS RSA WITH AES 128 CBC SHA 套件 为 例 , 当 协 商 后 的 协议 是 TLS 1.2 












































时 ， 它 使 用 的 PRF 是 基于 HMAC-SHA256 ; 当 协 议 是 TLS 1.0 时 ，PRF 则 是 基于 
HMAC-MD5/HMAC-SHA1。 另 一 方面 ，SHA384 GCM 套 件 ( 只 在 TLS 1.2 及 更 高 版 本 中 可 


用 ) 则 会 一 直 使 用 HMAC-SHA384 作 为 PRF。 





注意 
/ 工 忆 


密码 套件 名 称 使 用 简化 符号 表示 MAC 算 法 ， 只 指定 其 散 列 函数 。 这 经 常会 在 散 列 函 
比方 说 ， 虽 然 已 知 SHA1 在 选择 前 组 攻击 面前 是 弱点 ， 
但 它 在 TLS 中 却 并 不 存在 此 弱点 ， 因 为 它 是 用 在 HMAC 体 系 中 。 目 前 尚 无 值得 注意 的 


数 存 在 弱点 时 引发 大 家 的 迷惑 。 


针对 HMAC-SHA1 的 攻击 。 











密码 套件 并 未 完全 掌控 其 安全 参数 。 它 们 只 是 定义 了 最 关键 的 身份 验证 和 密 钥 交 换算 法 ,而 
对 这 些 算 法 的 实际 参数 并 没有 控制 能 力 〈 比如 密 钥 和 参数 强度 )。 


注意 
/ 工 忆 


密码 套件 只 能 与 其 预期 的 特定 身份 验证 机 制 一 起 使 用 。 上 比方 说 ， 名 称 含有 ECDSA 的 
套件 需要 ECDSA 密 钥 。 如 果 一 台 服 务 器 中 只 有 一 个 RSA 密 钥 ， 那 么 它 会 展示 自己 不 


支持 任何 ECDSA 套 件 。 


对 于 身份 验证 ， 其 强度 主要 依靠 证 书 ， 更 确切 地 说 是 证 书 中 的 密 钥 长 度 和 签名 算法 。RSA 密 
钥 交 换 的 强度 也 依赖 证 书 。 可 以 为 DHE 和 ECDHE 密 钥 交 换 配置 不 同 的 强度 ， 这 通常 是 在 服务 器 
级 别 的 配置 中 完成 的 。 某 些 服务 器 将 这 些 配置 暴露 给 最 终 用 户 ， 而 另 一 些 不 会 。 我 会 在 第 8 章 及 
其 后 的 技术 性 章节 中 更 详细 地 讨论 这 些 方面 。 





2.12 扩展 





























TLS 扩 展 是 一 种 通用 目的 的 扩展 机 制 ， 使 用 这 种 机 制 可 以 在 不 修改 协议 本 身 的 条 件 下 为 TLS 
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协议 增加 功能 。 它 在 2003 年 作为 一 个 单独 的 规格 说 明 (RFC 3456 ) 首次 出 现 , 但 随后 即 被 加 入 到 
TLS 1.2 中 。 

扩展 以 扩展 块 的 形式 加 在 CLientHel1lo 和 ServerHello 消 息 的 未 尾 : 

Extension extensions ; 

扩展 块 由 所 需 数 量 的 扩展 一 个 个 堆 登 而 成 。 个 扩展 标 尖 是 2 字 节 扩展 类 型 ( 唯一 标志 )， 
后 接 扩展 数据 : 


struct { 
ExtensionType extension type; 
opaque extension data; 

} Extension; 


扩展 的 格式 和 期 望 的 行为 由 每 个 扩展 自己 决定 。 在 实践 中 , 扩展 通常 用 于 通知 支持 某 些 新 功 
能 (因此 改变 了 协议 )， 以 及 用 于 在 握手 阶段 传递 所 需 的 额外 数据 。 自 从 扩展 被 引入 TLS， 它 就 
成 为 了 TLS 演 进 的 主要 载体 。 

在 本 节 中 , 我 将 讨论 最 常见 的 TLS 扩 展 ( 如 表 2-3 所 示 )。 因 为 IANA 一 直 保 持 对 扩展 类 型 的 跟 
踪 ， 所 以 可 以 从 其 网 站 上 获得 官方 的 扩展 列表 "。 


表 2-3 ”常见 的 TLS 扩 展 











































































































类 型 名 称 描 述 

0 Se Ve Eone 包含 连接 欲 访 问 的 安全 虚拟 主机 

5 status request 指示 支持 OCSP stapling 

13 (0x0d) signature algorithms 包含 支持 的 签名 算法 / 散 列 国 数 对 

15 (OxOf) heartbeat 指示 支持 心跳 协议 

16 (0x10) application_layer_protocol_negotiation ”包含 客户 端 希望 协商 的 并 且 支持 的 应 用 层 协议 

18 (0x12) signed certificate timestamp 服务 器 用 来 提交 证 据 ， 以 证 明证 书 已 被 公众 共享 ， 是 
证 书 透明 度 的 一 部 分 

21 (0x15) padding 用 于 解决 F5 负 载 均衡 设备 "中 的 特定 bug 

35 (0x23) Session ticket 指示 支持 无 状态 会 话 恢复 

13172 (0x3374) next protocol negotiation 指示 支持 次 协议 协商 

65281 (Oxff01) renegotiation info 指示 支持 安全 重新 协商 








a A TLS padding extension, https://datatracker.ietf.org/doc/draft-ietf-tls-padding/ (Internet-Draft，A. Langley，2015 年 2 月 )。 


2.12.1 应 用 层 协 议 协 商 


应 用 层 协议 协商 (application layer protocol negotiation ，ALPN ) 协议 扩展 能 够 在 TLS 连 接 上 
协商 不 同 的 应 用 层 协 议 ”。 使 用 ALPN ， 一 个 监听 443 端 口 的 服务 器 可 以 默认 提供 HTTP 1.1， 并 允 











QD TLS Extensions, https:/www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml ( IANA ， 检 
索 于 2014 年 6 月 30 日 )。 

© RFC 7301: TLS Application-Layer Protocol Negotiation Extension, http://tools.ietf.org/html/rfc7301 ( Friedl 等 ，2014 

年 7 月 )。 
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许 协 商 其 他 协议 ， 比 如 SPDY 或 者 HTTP 2.0。 
支持 ALPN 的 客户 端 在 application layer protocol negotiation 扩 展 中 提交 自己 支持 的 应 用 
层 协议 列表 给 服务 器 。 兼 容 的 服务 器 会 决定 使 用 的 协议 并 使 用 相同 扩展 向 客户 端 通知 其 决定 。 
ALPN 与 其 老 前 辈 NPN (会 在 本 节 中 稍 后 进行 讨论 ) 提供 的 主要 功能 一 致 ， 只 是 在 次 要 属性 
上 有 所 不 同 。NPN 偏 爱 将 协议 选择 结果 加 密 ， 而 ALPN 则 是 以 明文 传输 ， 使 中 间 设 备 可 以 检查 它 
们 并 根据 观察 所 得 信息 为 流量 选择 路 由 。 


2.12.2 ”证 书 透 明度 


证 书 透 明度 (certificate transparency ) "还 是 一 个 提案 ， 目 的 是 通过 保持 所 有 公开 的 服务 器 证 
书 来 改进 互联 网 PKI。 它 的 基本 想法 是 CA 将 每 一 张 证 书 都 提交 给 一 组 公开 的 日 志 服务 器 , 反 过 来 ， 
这 些 CA 将 收 到 提交 的 证 明 ， 称 为 已 签名 证 书 时 间 玲 (signed certificate timestamp，SCT )， 并 中 继 
给 最 终 用 户 。 有 一 些 选项 用 来 传送 SCT， 其 中 之 一 就 是 新 的 TLS 扩 展 signed certificate 


timestamp。 


2.12.3 ”椭圆 曲线 功能 


RFC 4492 提 出 了 两 个 扩展 ， 可 以 在 握手 时 通告 客户 端的 EC 功能 。elliptic_curves 扩 展 在 
ClientHello 中 列 出 支持 的 曲线 名 称 ， 使 服务 器 可 以 在 其 中 选择 一 条 双方 都 支持 的 曲线 。 


struct { 
NamedCurve elliptic curve list 
} EllipticCurvelist; 


主要 的 曲线 在 RFC 4492” 中 说 明 。 所 有 的 曲线 都 在 标准 主体 ( 比如 NIST”) 之 上 定义 ， 通 过 
参数 来 实现 : 


enum { 
sect163k1 (1), sect163r1 (2), sect1637r2 (3 
sect193r1 (4), sect193r2 (5), sect233k1 (6 
sect233T1 (7), sect239k1 (8), sect283k1 (9 
sect283r1 (10), sect409k1 (11), sect409r1 
sect571k1 (13), sect571r1 (14), secp160k1 
secp160r1 (16), secp160r2 (17), secp192k1 
) 
) 






















































































secp192r1 (19), secp224k1 (20), secp224r1 

secp256k1 (22), secp256r1 (23), secp384r1 

secp521r1 (25)， 

reserved (OxFEO0. .OxFEFF), 

arbitrary explicit prime Curves(OxFF0O1)， 

arbitrary explicit char2 curves(OxFF02) 
} NamedCurve; 


DA 























GD Certificate Transparency, http://www.certificate-transparency.org/( Google， 检 索 于 2014 年 6 月 30 日 )。 
© RFC 4492: ECC Cipher Suites for TLS, http://tools.ietf.org/html/rfc4492 ( S. Blake-Wilson 等 ，2006 年 5 月 )。 
@ FIPS 186-3: Digital Signature Standard, http://csrc.nist.gov/publications/fips/fips186-3/fips_ 186-3.pdf (NIST，2009 年 6 月 )。 
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Brainpool 曲 线 在 稍 后 的 RFC 7027 中 定义 。 另 外 两 条 曲线 Curve25519 和 Curve448 ， 当 前 正在 
进行 标准 化 ， 以 在 TLS 中 使 用 ?。 

现在 ， 只 有 两 种 曲线 得 到 了 广泛 支持 : secp256r1 和 secp384r1。 一 般 来 讲 ， 根 本 不 可 能 支持 
任意 曲线 ”。 











NIST 椭 圆 曲 线 
NIST 栅 圆 曲 线 有 时 会 受到 怀疑 ， 因 为 它们 没有 解释 参数 是 如 何 选择 出 来 的 8。 尤其 是 在 
Dual ECDRBG 后 门 曝 光 以 后 , 任何 没有 解释 的 曲线 都 会 受到 怀疑 。 大 家 担心 那些 命名 曲线 存 
在 只 有 设计 者 才 知 道 而 不 为 大 众 所 知 的 缺陷 。 因 此 ， 要 扩展 TLS 支 持 ， 其 他 曲线 还 需要 做 很 
多 工作 。 











另 一 个 定义 的 扩展 是 ec_point formats。 这 个 扩展 可 以 在 协商 时 对 椭圆 曲线 顶点 进行 可 选 压 
缩 。 理 论 上 , 使 用 压缩 的 顶点 格式 可 以 在 受 限 的 环境 下 节省 宝贵 的 带宽 资源 , 但 实际 使 用 中 节省 


的 量 不 大 ( 比如 为 256 位 的 曲线 节约 64 字 节 )“， 因 此 压缩 格式 一 般 未 被 使 用 。 








2.12.4 心跳 

















心跳 ( Heartbeat ) “是 一 个 协议 扩展 , 添加 了 支持 连接 保 活 的 功能 ( 检查 对 端 是 否 仍 然 可 用 )， 
以 及 为 TLS 和 DTLS 发 现 路 径 最 大 传输 单元 (path maximum transmission unit, PMTU )”。 虽然 TLS 
通常 用 于 TCP 协 议 之 上 ， 而 且 TCP 本 身 已 经 具备 连接 保 活 的 功能 ， 但 是 心跳 的 目标 定位 是 DTLS， 
因为 其 工作 在 不 可 依赖 的 协议 ( 比如 UDP ) 之 上 。 


注意 

有 些 人 建议 使 用 0 长 度 的 TLS 记 录 (协议 允许 ) 来 实现 连接 保 活 功能 。 但 在 试图 减轻 
BEAST 攻 击 的 实际 过 程 中 显示 了 大 量 应 用 无 法 容忍 没 有 任何 数据 的 记录 。 并 且 , 因为 
PMTU 需 要 各 种 长 度 的 负载 ， 所 以 0 长 度 TLS 记 录 对 其 没有 任何 帮助 。 























QD RFC 7027: ECC Brainpool Curves for TLS, http://tools.ietf.org/html/rfc7027 ( J. Merkle 和 M. Lochter，2013 年 10 月 )。 

©® Curve25519 and Curve448 for TLS , https://datatracker.ietf.org/doc/draft-ietf-tls-curve25519/ ( S. Josefsson 和 ML 
Pegourie-Gonnard，2015 年 7 月 )。 

@ 生成 性 质 良 好 且 不 限 数量 的 椭圆 曲线 是 一 项 复杂 并 且 很 容易 出 错 的 工作 ， 大 多 数 开发 人 员 都 会 选择 敬而远之 。 此 
外 ， 命 名 曲线 是 可 以 进行 优化 以 使 之 运行 更 快速 的 。 

(@ SafeCurves: choosing safe curves for elliptic-curve cryptography, http://safecurves.cr.yp.to/( D. J. Bernstein, 检索 于 2014 
年 6 月 30 日 )。 

@ 这 里 想当然 地 未 提 及 未 压缩 时 需要 的 字 节 数 ， 所 以 这 个 例子 说 明 不 了 什么 问题 。 一 一 译 者 注 

© RFC 6520: TLS and DTLS Heartbeat Extension, https://tools.ietf.org/html/rfc6520 ( R. Seggelmann 等 ，2012 年 2 月 ) 

@ 最 大 传输 单元 (maximum transmission unit，MTU ) 是 能 作为 一 个 整体 发 送 的 数据 最 大 长 度 。 两 端 在 直接 通信 时 ， 
它们 可 以 交换 其 MTU。 但 是 ， 当 通信 和 穿越 许多 跃 点 以 后 ， 有 时 需要 渐进 发 送 更 大 的 数据 帧 来 发 现 适 用 于 整个 路 径 
的 MTU。 
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首先 , 客户 端 和 服务 器 通过 心跳 扩展 相互 通告 支持 心跳 。 在 协商 过 程 中 ,一方 通过 发 送 带 有 
HeartbeatMode 参 数 的 心跳 请 求 给 另 一 方 授权 : 
struct { 


HeartbeatMode mode; 
} HeartbeatExtension; 





enum { 
peer allowed to send (1)， 
peer not allowed to send (2) 
} HeartbeatMode; 


心跳 是 作为 TLS 的 子 协 议 实现 的 , 这 意味 着 心跳 消息 可 能 与 应 用 数据 甚至 其 他 协议 消息 相互 
交错 。 按 照 RFC 的 说 明 ， 只 允许 在 握手 完成 后 才能 发 送 心跳 消息 ， 但 实际 上 ，OpenSSL 在 TLS 扩 
展 交换 完成 以 后 就 立即 允许 其 发 送 。 

现在 还 不 清楚 生产 中 有 无 使 用 心跳 。 但 是 ，OpenSSL 支 持 它 并 且 默 认 启 用 。GnuTLS 也 实现 
了 这 个 扩展 。2014 年 4 月 以 前 ， 几 乎 没有 人 知道 心跳 是 什么 ; 在 那 之 后 ， 由 于 OpenSSL 实 现 遭 受 
针对 其 一 个 严重 弱点 的 攻击 , 使 得 敏感 数据 从 服务 器 进程 的 内 存 空间 中 外 泄 ， 人 们 才 发 现 心跳 的 
存在 。 那 次 利用 这 一 漏洞 的 攻击 被 称 为 心脏 出 血 (Heartbleed )， 也 许 是 发 生 在 TLS 上 的 最 严重 的 
攻击 。 你 可 以 在 6.3 节 中 阅读 到 更 多 相关 信息 。 


2.12.5 ”次 协议 协商 


当 Google 开 始 设计 SPDY? ( 这 个 协议 将 比 HTTP 有 所 提升 ) 时 ， 它 需要 一 种 可 靠 的 协议 协商 
机 制 ， 可 以 与 严格 的 防火 墙 和 有 问题 的 代理 一 起 工作 。 因 为 SPDY 本 来 就 会 使 用 TLS， 所 以 它们 
决定 为 TLS 提 供 一 个 协商 应 用 层 协议 的 扩展 。 其 最 终结 果 是 次 协议 协商 (nextprotocol negotiation， 
NPN )。 


注意 
如 果 你 调查 NPN， 可 能 会 碰 到 许多 不 同 版 本 的 规格 说 明 书 。 其 中 一 些 版 本 是 TLS 工 作 
组 在 标准 化 讨论 时 生成 的 ， 而 生产 中 使 用 的 是 一 个 更 老 的 版 本 2 。 


启用 SPDY 支 持 的 客户 端 提交 的 TLS 握 手中 集成 了 一 个 空 的 next_protocol_negotiation 扩 展 ， 
但 这 仅 在 握手 中 也 包含 server_name 扩 展 表 明 其 需要 访问 的 主机 名 时 才 行 。 兼 容 的 服务 器 会 返回 含 
有 next_protocol_negotiation 扩 展 的 响应 ， 这 次 会 包含 服务 器 所 支持 的 应 用 层 协 议 的 列表 。 

客户 端 通过 一 个 新 的 握手 消息 NextpProtocol 表 明 期 望 的 应 用 层 信息 : 


struct { 
opaque selected protocol; 
opaque padding; 













































































GD SPDY ，https://en.wikipedia.org/wiki/SPDY ( 维基 百科 ， 检 索 于 2014 年 6 月 30 日 )。 
© Google Technical Note: TLS Next Protocol Negotiation Extension, https://web.archive.org/web/20150529234248/https:// 
technotes.googlecode.com/git/nextprotoneg.html ( Adam Langley，2012 年 5 月 )。 
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} NextPTrotocol; 

为 了 避免 被 动 攻击 者 得 到 客户 端的 选择 ， 提 交 的 消息 被 加 密 ， 这 意味 着 客户 端 必须 在 
ChangeCipherSpec 消 息 以 后 才能 发 送 它 ， 而 且 还 要 在 Finished 消 息 之 前 。 这 就 与 标准 握手 的 消息 
流 有 所 不 同 。 客 户 端 不 仅 可 以 从 服务 器 提供 的 列表 中 选择 所 期 望 的 协议 名 称 ,， 而 且 也 可 以 自由 提 
交 不 在 服务 器 通知 中 的 协议 。 扩 展会 使 用 填充 ,这样 可 以 隐藏 其 真实 长 度 ， 这 样 敌对 方 无 法 通过 
观察 加 密 消 息 的 长 度 猜测 选择 的 协议 。 

NPN 已 提交 到 TLS 工 作 组 ， 和 希望 成 为 标准 "。 但 即使 其 在 业界 得 到 广泛 支持 〈 比如 Chrome、 
Firefox 和 OpenSSL )， 它 仍然 未 被 接受 。 引 入 新 的 握手 消息 ， 改 变通 常 的 握手 流程 ， 被 认定 是 破 
坏 性 的 并 且 过 度 复杂 。 大 家 也 担心 其 不 具备 让 中 间 设 备 了 解 协商 的 协议 的 能 力 , 并 且 在 实践 中 可 
能 也 存在 问题 .最终 ,工作 组 采用 的 是 与 之 竞争 的 ALPN 提 案 ” .Google 现 在 同时 支持 ALPN 和 NPN ， 
而 且 将 在 未 来 切换 到 只 支持 ALPN ” 。 


2.12.6 ”安全 重新 协商 


renegotiation _ info 扩展 以 验证 重新 协商 的 双方 仍 是 先前 完成 握手 的 两 个 团体 方式 来 改进 
TLS。 

开始 〈 在 某 个 连接 的 第 一 次 握手 期 间 )， 这 个 扩展 用 于 双方 相互 通知 对 方 自己 支持 安全 重新 
协商 ;为 了 做 到 这 一 点 ， 他 们 简单 地 发 送 不 带 数据 的 扩展 。SSL 3 不 支持 扩展 ， 为 了 使 其 支持 这 
种 安全 性 , 作为 蔡 代 , 客户 端 会 发 送 特殊 的 通知 套件 TLS_EMPTY_RENEGOTIATION_INFO_SCSV (Oxff)。 

在 后 续 的 握手 中 ,扩展 用 于 提交 先前 握手 的 一 些 信息 作为 证 明 。 客 户 端 以 先前 的 Finished 消 
息 作 为 verify_data 的 值 发 送出 去 。 而 服务 器 会 发 送 两 个 值 : 首先 是 客户 端的 verify_data， 接 下 
来 是 服务 器 自己 的 。 因 为 Finished 消 息 总 是 加 密 的 ， 所 以 攻击 者 得 不 到 这 些 值 。 


2.12.7 服务 器 名 称 指示 


服务 器 名 称 指示 ( server name indication，SNI ) 通过 server_name 扩 展 实现 ”， 它 可 以 为 客户 
端 提 供 一 种 机 制 , 利用 这 种 机 制 客户 端 可 以 告知 服务 器 它 硕 望 与 之 建立 连接 的 服务 器 的 名 称 。 换 
言 之 , 这 个 扩展 为 安全 虚拟 主机 提供 支持 : 它 为 服务 器 提供 足够 的 信息 , 使 之 可 以 在 所 有 可 用 的 
安全 虚拟 主机 中 寻找 到 匹配 的 证 书 。 如 果 没 有 这 种 机 制 ， 每 个 IP 地 址 上 只 能 部 署 一 张 证 书 ”。 
为 SNI 在 TLS 中 添加 得 比较 晚 (2006 )， 所 以 仍然 存在 很 多 陈旧 的 产品 ( 比如 Windows XP 和 一 些 






































































































































GD Next Protocol Negotiation 03, http:/www.ietf.org/mail-archive/web/tls/current/msg08678.html ( Adam Langley, 2012 

年 4 月 24 日 )。 

©® Some missing context (was: Confirming consensus for ALPN) , http:/www.ietf.org/mail-archive/web/tls/current/msg09344. 
html ( Yoav Nir，2013 年 3 月 15 日 )。 

@NPN and ALPN, https:/www.imperialviolet.org/2013/03/20/alpn.html ( Adam Langley，2013 年 3 月 20 日 )。 

(@ RFC 6066: TLS Extensions: Extension Definitions, http://tools.ietf.org/html/rfc6066 ( D. Eastlake 3rd，2011 年 1 月 )。 

@) 虽然 HTTP 也 具有 通过 Host 请 求 头发 送 主 机 信息 的 能 力 , 但 这 是 在 应 用 层 发 送 的 ,只 能 在 TLS 握 手 成 功 以 后 才能 通 
告 至 服务 器 。 
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早期 安 卓 版 本 ) 不 支持 这 个 扩展 。 因 此 , 为 大 量 受众 提供 开放 站 点 建设 服务 的 虚拟 安全 托管 方案 
仍然 不 现实 。 


2.12.8 会 话 票 证 


会 话 票 证 (session ticket ) 引入 了 一 种 新 的 会 话 恢复 机 制 ， 这 种 机 制 不 需要 任何 服务 器 端 存 
储 "。 其 思想 是 服务 器 取出 它 的 所 有 会 话 数据 ( 状态 ) 并 进行 加 密 ， 再 以 票证 的 方式 发 回 客户 端 。 
在 接 下 来 的 连接 中 ,客户 端 将 票证 提交 回 服务 器 ， 由 服务 器 检查 票证 的 完整 性 ,解密 其 内 容 ,再 
使 用 其 中 的 信息 恢复 会 话 。 这 种 方法 有 可 能 使 扩展 服务 器 集群 更 为 简单 ,因为 如 果 不 使 用 这 种 方 
式 ， 就 需要 在 服务 集群 的 各 个 节点 之 间 同 步 会 话 。 

警告 

会 话 票 证 破坏 了 TLS 安 全 模型 。 它 使 用 票证 密 钥 加 密 的 会 话 状态 并 将 其 暴露 在 线路 
上 。 有 些 实现 中 的 票证 密 钥 可 能 会 比 连接 使 用 的 密码 要 弱 。 比 如 ，OpenSSL 使 用 128 
位 的 AES 密 钥 。 同 时 ， 相 同 的 票证 密 钥 在 许多 会 话 中 重用 ， 这 就 与 RSA 密 钥 交 换 的 情 
形 类 似 ， 无 法 提供 前 向 保密 ; 如 果 票 证 密 钥 被 暴露 ， 就 可 以 解密 连接 上 的 全 部 数据 。 
因此 ， 使 用 会 话 票 证 时 ， 票 证 密 钥 需 要 频繁 轮换 。 


客户 端 可 以 使 用 一 个 空 的 会 话 票证 扩展 指示 支持 这 种 恢复 方式 。 如 果 它 希望 恢复 此 前 的 会 
话 ， 它 应 该 将 票证 放置 在 扩展 中 代替 空 值 。 兼 容 服 务 器 如 希望 发 起 一 个 新 的 票证 ， 则 应 在 其 
ServerHello 中 包含 一 个 空 sSession ticket 扩展 。 之 后 服务 器 便 会 等 待 客户 端的 Finished 消 息 ， 验 
证 它 ， 将 票证 置 人 NewSessionTicket 握 手 消 息 中 发 回 客户 端 。 如 果 服 务 器 希望 恢复 此 前 的 会 话 ， 
它 会 按照 简短 握手 的 方式 响应 客户 端 ， 并 且 按 照 标准 的 会 话 恢复 方式 处 理 自身 逻辑 。 


注意 

当 服 务 器 决定 使 用 会 话 票 证 进行 会 话 恢复 时 ， 它 会 发 回 一 个 空 的 会 话 ID 字段 (在 其 
ServerHello 消 息 中 )。 就 这 一 点 来 说 ， 这 个 会 话 不 具有 唯一 的 标识 。 然 而 ， 票 证 规格 
说 明 允 许 客 户 端 在 后 续 使 用 票证 的 握手 中 选择 并 提交 一 个 会 话 ID (在 其 ClientHello 
中 )。 服 务 器 如 果 接 受 票 证 ， 那 么 也 必须 以 同样 的 会 话 ID 作为 响应 。 这 就 是 为 什么 即 
使 使 用 会 话 票 证 作为 会 话 恢复 机 制 ，TLS Web 服 务 器 日 志 中 也 出 现 会 话 ID 的 原因 。 











































































































2.12.9 签名 算 ; 


signature_algoritms 扩 展 是 在 TLS 1.2 中 定义 的 。 它 使 客户 端 可 以 通告 自己 支持 的 各 种 签名 
和 散 列 算法 。TLS 规 格 说 明 书 中 列 出 了 RSA 、DSA 和 ECDSA 签 名 算法 ,以 及 MD5 、SHA1、SHA224、 
SHA256、SHA384 和 SHA512 这 些 散 列 算法 。 使 用 signature _ algorithms 扩展 ,客户 端 可 以 提交 其 
支持 的 签名 - 散 列 算法 对 。 























QD RFC 5077: TLS Session Resumption without Server-Side State, http://tools.ietf.org/html/rfe5077 ( Salowey 等 ，2008 年 1 月 )。 
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这 个 扩展 是 可 选 的 ; 如 果 未 设置 ,服务 器 会 根据 客户 端 提供 的 密码 套件 推断 其 支持 的 签名 算 
法 (比如 RSA 套 件 可 以 推断 出 RSA 签 名 , ECDSA 套 件 支 持 ECDSA, 等 等 ), 而 且 假 定 其 支持 SHA1。 








2.12.10 OCSP stapling 


客户 端 使 用 status_request 扩 展 " 指 示 支 持 OCSP stapling。 服务 器 使 用 这 个 特性 发 送 最 新 的 证 
书 吊 销 信 息 给 客户 端 。( 我 会 在 5.10 节 对 吊销 进行 详细 讨论 )。 支 持 OCSP stapling 的 服务 器 在 其 
ServerHello 中 返回 一 个 空 的 status_request 扩 展 , 并 在 Certificate 消 息 之 后 紧 跟 一 条 Certificate- 
Status 握 手 消息 ， 将 OCSP 响 应 〈 使 用 DER 格式 ) 包含 在 这 条 消息 中 。 

OCSP stapling 只 支持 一 个 OCSP 啊 应 ， 只 能 用 于 检测 一 张 服务 器 证 书 的 吊销 状态 。 这 个 限 
制 在 RFC 6961” 中 得 到 了 解决 ， 因为 它 添加 了 对 多 个 OCSP 响 应 的 支持 (使 用 status_request_v2 
扩展 来 表明 对 它 的 支持 )。 但是， 直到 现在 ， 这 个 改进 版 仍然 没有 得 到 客户 端 和 服务 器 软件 的 


完善 支持 。 
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因为 TLS 在 OSI 层次 中 的 定位 和 某 些 设计 安排 ， 除 了 那些 偶然 的 弱点 〈 那 些 弱 点 我 将 在 后 续 

章节 中 详细 讨论 ) 之 外 ， 当 前 它 仍 有 几 处 众所周知 的 限制 。 

口 加 密 保 护 TCP 连 接 的 内 容 , 但 TCP 和 所 有 其 他 更 低层 的 协议 的 元 数据 仍然 是 明文 传输 。 
此 , 被动 观察 者 可 以 确定 源 和 目标 的 IP 地 址 。 这 类 信息 的 泄露 不 是 TLS 的 责任 ， 而 是 我 们 
当前 的 分 层 网 络 模型 导致 的 限制 。 

口 即使 在 TLS 层 ， 也 有 很 多 信息 以 明文 形式 暴露 出 去 。 第 一 次 握手 一 定 是 非 加 密 的 ， 可 以 
让 被 动 观察 者 : (1) 了 解 客户 端的 功能 ,并 使 用 其 作为 指纹 ; (2) 检查 SNI 信 息 确定 期 望 访 
问 的 虚拟 主机 ; (3) 检查 主机 证 书 ， 以 及 何 时 会 使 用 客户 端 证 书 ; (4) 存在 得 到 足够 信息 
以 识别 用 户 身份 的 可 能 性 。 这 些 问题 有 方法 可 以 避免 ,但 是 这 些 方 法 都 没有 被 主流 实现 
所 采用 。 

口 当 启 动 加 密 以 后 ， 某 些 协 议 信 息 仍 能 被 清楚 地 探查 到 : 观察 者 可 以 了 解 到 子 协议 和 每 条 
消息 的 长 度 。 根 据 不 同 的 协议 ， 这 些 长 度 可 以 揭示 某 些 底层 通信 的 线索 。 比 如 ， 有 一 些 
研究 尝试 根据 指明 的 请 求 和 相应 长 度 推 新 HTTP 访问 的 是 哪些 资源 。 如 果 没 有 隐藏 长 度 ， 
不 可 能 安全 地 在 加 密 之 前 使 用 压缩 ( 现在 最 常见 的 实践 方法 )。 

网 络 层 元 数据 的 泄露 只 能 在 网 络 层 解决 。 而 其 他 限制 是 可 以 修复 的 , 确实 有 一 些 解 决 问题 的 

提案 和 讨论 。 你 可 以 在 本 书后 面 的 部 分 对 这 些 问题 有 更 多 了 解 。 
























































































































































QD RFC 6066: TLS Extensions: Extension Definitions, http://tools.ietf.org/html/rfc6066 ( D. Eastlake 3rd，2011 年 1 月 )。 
© RFC 6961: TLS Multiple Certificate Status Request Extension, http://tools.ietf.org/html/rfc6961 ( Y Pettersen ，2013 年 6 月 )。 
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2.14 ”协议 版 本 间 的 差异 


本 节 描 述 SSL 和 TLS 协 议 的 各 版 本 之 间 的 主要 差别 。 自 从 SSL3 以 来 , 协议 核心 并 没有 大 幅 改 
变 。TLS 1.0 为 了 迎合 使 用 另 一 个 名 称 进行 了 有 限 的 改变 ， 发 布 TLS 1.1 的 首要 目标 是 为 了 解决 几 
个 安全 性 问题 。TLS 1.2 引 入 了 已 验证 加 密 ， 清 理 了 散 列 ， 男 外 去 掉 了 协议 中 的 硬 编码 基 元 。 


























2.14.1 SSL3 


SSL3 于 1995 年 年 末 发 布 。 为 了 弥补 先前 协议 版 本 的 诸多 弱点 ，SSL3 从 头 开始 设计 了 一 套 协 
议 ， 并 一 直 沿 用 到 了 最 新 版 本 的 TLS。 如 果 你 想 更 好 地 了 解 SSL 3 作出 了 哪些 改变 以 及 作出 改变 
的 原因 ， 我 推荐 Wagner 和 Schneier 的 协议 分 析 论 文 ?。 











2.14.2 TLS 1.0 


TLS 1.0 于 1999 年 1 月 发 布 。 与 SSL3 相 比 ， 它 包含 了 以 下 改进 。 
口 这 是 定义 基于 标准 HMAC 的 PREF 的 第 一 个 版 本 。 它 将 PRF 以 HMAC-MD5 和 HMAC-SHA 的 
结合 (XOR ) 实现 。 
口 生成 主 密 钥 使 用 PRF ， 而 不 是 定制 的 构造 方法 。 
D verify _ data 的 值 基于 PRF， 而 不 是 定制 的 构造 方法 。 
口 使 用 官方 HMAC 作 为 完整 性 验证 (MAC )。SSL3 使 用 的 是 更 早 的 、 已 被 废弃 的 HMAC 版 本 。 
口 修改 填充 格式 ， 使 其 更 为 可 靠 。2014 年 10 月 ， 被 称 为 POODLE 的 攻击 暴露 了 SSL 3 的 填充 
机 制 不 安全 。 
口 去 掉 了 FORTEZZA” 套 件 。 
协议 清理 的 结果 是 TLS 1.0 得 到 了 FIPS 的 批准 ， 人 允许 其 用 于 美国 政府 机 构 ， 这 是 现实 中 一 个 
非常 重要 的 事件 。 

如 果 你 想 研 究 TLS 1.0 和 之 前 版 本 的 协议 ， 我 推荐 Eric Rescorla 的 SSL and TLS: Desiening and 
Building Secure Systems 一 书 ( Addison-Wesley，2001 年 出 版 )。 我 发 现 这 本 书 对 于 理解 TLS 某 些 决 
定 背 后 的 理由 ， 以 及 跟 进 其 设计 的 演变 ， 有 着 非常 宝贵 的 价值 。 




























































































2.14.3 TLS 1.1 


TLS 1.1 于 2006 年 4 月 发 布 。 与 TLS 1.0 相 比 ， 它 包含 以 下 主要 改进 。 

口 CBC 加 密使 用 包含 在 每 个 TLS 记 录 中 的 显 式 IV。 这 弥补 了 IV 可 预测 的 弱点 。 不 然 这 个 弱点 
后 面 会 被 BEAST 攻 击 所 利用 
口 为 了 抵抗 填充 攻击 ， 要 求实 现 使 用 bad record _ mac 警报 作为 填充 问题 的 响应 。 不 再 赞成 使 











a 











GD Analysis of the SSL 3.0 protocol, https:/www.schneier.com/paper-ssl-revised.pdf ( David Wagner 和 Bruce Schneier, 
Proceedings of the Second USENIX Workshop on Electronic Commerce ，1996 年 )。 
@@ Fortezza，https://en.wikipedia.org/wiki/Fortezza ( 维基 百科 ， 检 索 于 2014 年 6 月 30 日 )。 
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用 decryption failed 警报 。 
口 这 个 版 本 引用 包含 了 TLS 扩 展 ( RFC 3546 )。 


2.14.4 TLS 1.2 


TLS 1.2 于 2008 年 8 月 发 布 。 与 TLS 1.1 相 比 ， 它 包含 以 下 主要 改进 。 

口 添加 已 验证 加 密 支持 。 

口 添加 对 HMAC-SHA256 密 码 套 件 的 支持 。 

口 删除 IDEA 和 DES 密 码 套件 。 

口 虽然 大 部 分 扩展 的 实际 文档 还 是 在 其 他 地 方 , 但 TLS 将 扩展 和 协议 的 主 规格 说 明 书 进行 了 

集成 。 

口 客户 端 可 以 使 用 一 种 新 的 扩展 ( signature algorithms ) 来 通报 它 愿 意 接受 的 散 列 和 签名 

算法 。 

口 当 使 用 TLS 1.2 套 件 或 者 以 协商 协议 是 TLS 1.2 为 条 件 使 用 之 前 的 套件 时 ， 在 PRF 中 使 用 

SHA256 代 替 MDS/SHA1 组 合 。 

口 允许 密码 套件 定义 其 自身 的 PRF。 

口 使 用 单一 散 列 代替 用 于 数字 签名 的 MDS/SHA1 组 合 。 默 认 使 用 SHA256， 并 且 密 码 套件 可 
以 指定 其 自身 使 用 的 散 列 。 签 名 散 列 算法 以 往 是 由 协议 强制 指定 ， 现 在 是 散 列 函数 式 签 
名 结构 中 的 一 部 分 ， 而 且 在 实施 启用 中 可 以 选择 最 佳 算法 。 

口 密码 套件 可 以 显 式 指定 Finished 消 息 中 的 verify _ data 成员 的 长 度 。 
























































和 草 























有 了 公开 密 钥 算法 之 后 , 我 们 就 可 以 通过 他 人 的 公开 密 钥 与 其 安全 通信 , 但 是 还 有 一 些 悬 而 
未 决 的 问题 : 如 何 与 那些 从 未 谋面 的 人 进行 沟通 ? 如 何 存储 和 吊销 密 钥 ? 最 重要 的 是 , 如 何 让 现 


实 世界 中 数 以 百 万 计 的 服务 器 、 几 十 亿 人 秆 




















I 设备 之 间 安 全 通信 ? 这 个 问题 非常 的 复杂 ， 而 公 铀 基 





础 设施 (public key infrastructure，PKI ) 就 是 为 解决 此 问题 而 建立 的 。 


3.1 互联 网 公 钥 基础 设施 


对 大 多 数 人 来 说 ，PKI 就 是 互联 网 公 钥 基础 设施 。 实 际 上 PKI 的 含义 更 宽泛 ， 因 为 其 原本 是 
为 了 别 的 用 途 而 开发 的 。 因 此 更 准确 的 说 法 是 , 由 PKIX 工 作 组 为 适应 PKI 在 互联 网 上 的 使 用 而 提 


出 的 互联 网 公 钥 基 础 设施 ( Internet PKI ); 另 


览 器 上 如 何 使 用 和 


说 的 PKI 都 表示 互 





验证 证 书 。 在 本 书 中 ， 除 3 
庆 网 公 钥 基础 设施 。 






































外 一 个 最 近 常 被 用 到 的 词 是 Web PKI, 主要 关注 在 浏 
E 某 些 特定 场合 确实 有 必要 区 分 这 两 个 概念 以 外 ,我 




















PKI 的 目标 就 是 实现 不 同 成 员 在 不 见面 的 情况 下 进行 安全 通信 ， 我 们 当前 采用 的 模型 是 基于 
可 信 的 第 三 方 机 构 ， 也 就 是 证 书 颁发 机 构 ( certification authority 或 certificate authority，CA ) 签发 
的 证 书 。 互 联网 PKI 证 书生 命 周 期 如 图 3-1 所 示 。 


口 订阅 人 





口 登记 机 构 




















订阅 人 (或 者 说 最 终 实 体 ) 是 指 那 些 需 要 证 书 来 提供 安全 服务 的 团体 。 

















登记 机 构 (registration authority，RA ) 主要 是 完成 一 些 证 书签 发 的 相关 管理 工作 。 例 如， 
RA 会 首先 对 用 户 进行 必要 的 身份 验证 ， 然 后 才 会 去 找 CA 签 发 证 书 。 在 某 些 情况 下 ， 当 
CA 希望 在 用 户 附 近 建 立 一 个 分 支 机 构 时 ( 例如 在 不 同 的 国家 建立 当地 登记 中 心 )， 我 们 
也 称 RA 为 本 地 登记 机 构 (localregistration authority，LRA )。 实际 上 , 很 多 CA 也 执行 RA 


的 职责 。 


口 证 书 颁发 机 构 
证 书 颁 发 机 构 ( certification authority，CA ) 是 指 我 们 都 信任 的 证 书 颁发 机 构 ， 它 会 在 确 
认 申 请 用 户 的 身份 之 后 签发 证 书 。 同 时 CA 会 在 线 提供 其 所 签发 证 书 的 最 新 吊销 信息 ， 这 
样 信 赖 方 就 可 以 验证 证 书 是 否 仍然 有 
































效 。 
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口 信赖 方 
信赖 方 (relying party ) 是 指 那些 证 书 使 用 者 。 技 术 上 来 说 ， 一 般 是 指 那些 执行 证 书 验证 
的 网 页 浏览 器 、 其 他 程序 以 及 操作 系统 。 他 们 是 通过 维护 根 可 信 证 书库 来 执行 验证 的 ， 
这 些 证 书库 包含 某 些 CA 的 最 终 可 信 证 书 (信任 密 钥 ，trust anchor )。 更 广泛 地 说 ,信赖 方 
是 指 那些 需要 通过 证 书 在 互联 网 上 进行 安全 通信 的 最 终 用 户 。 



























































证 书签 名 申请 (request 
certificate issuance, CSR) CSR 
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图 3-1 互联 网 PKI 证 书生 命 周 其 











什么 是 信任 ? 

讨论 PKI 的 时 候 经 常会 用 到 身份 (identity )、 权 威 ( authority ) 和 信任 (trust ) 等 词汇 ， 在 
这 里 它们 的 含义 与 平时 的 不 一 样 ， 很 容易 让 人 将 它们 与 现实 生活 中 的 含义 混淆 在 一 起 。 

对 大 多 数 证 书 来 说 ， 我 们 在 与 服务 器 通信 的 时 候 ， 对 于 服务 器 身份 正确 与 否 ， 证 书 其 实 
只 提供 了 有 限 的 保证 。 只 有 EV 证 书 会 和 线 下 身份 进行 绑 定 ， 但 这 里 面 依旧 有 很 多 其 他 因素 ， 
所 以 EV 证 书 也 并 不 意味 着 更 加 安全 。 

在 PKI 里 面 , 信任 只 是 技术 层面 上 的 概念 ， 它 仅仅 意味 着 证 书 可 以 通过 处 于 可 信 证 书库 中 
的 某 个 CA 的 验证 ,但 这 并 不 意味 着 我 们 可 以 信任 证 书 订阅 人 的 一 切 。 考 虑 一 下 这 种 情形 : 亚 
马 逊 网 站 虽然 没有 使 用 加 密 ， 但 每 天 依旧 有 百 万 人 访问 并 在 上 面 进行 购买 。 为 什么 ?归根 结 
底 还 是 因为 这 些 网 站 赢得 了 我 们 的 信任 。 
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3.2 标准 


互联 网 公 钥 基础 设施 可 以 追溯 到 X.509， 它 是 一 种 公 钥 基础 设施 的 国际 标准 ， 最 初 是 为 了 支 
持 X.500 而 设计 的 。X.500 是 电子 目录 服务 的 标准 ,但 是 从 来 没有 被 广泛 使 用 过 ; X.509 经 PKIX 工 
作 组 的 改造 ， 适 合 在 互联 网 上 使 用 。?” 

下 文 节选 自 PKI 完 章 : 

PKIX 工 作 组 成 立 于 1995 年 秋天 ， 目标 是 建立 支持 基于 X.509 公 钠 基 础 设施 的 互联 网 
标准 。 最 开始 PKIX 主 要 是 分 析 CCITT (之 后 是 ITU-T ) 的 X.509 标 准 ， 不 久之 后 ，PKIX 
抛弃 了 ITU-T 的 工作 , 重新 开始 建立 满足 互联 网 需求 的 基于 X.509 的 公 钥 基础 设施 。 随 着 
时 间 的 流逝 ， 这 项 工作 成 为 了 PKIX 的 工作 重点 ， 举 个 例子 ， 大 多 数 PKIX 提 交 的 RFC 不 
再 是 ITU-TX.509 文 档 的 描述 了 。 


PKIX 工 作 组 产 出 的 最 重要 的 文档 是 RFC 5280， 它 描述 了 证 书 格式 、 可 信 证 书 链 的 建立 ， 以 
及 证 书 吊销 列表 ( CRL ) 的 格式 。?PKIX 工 作 组 在 2013 年 10 月 结束 了 自己 的 使 命 。 


注意 

互联 网 上 最 普遍 的 一 点 就 是 现实 和 标准 从 来 都 是 大 相 径 庭 的 ，PKIX 就 如 此 。 一 部 分 
是 因为 标准 经 常 含糊 不 清 而 且 满足 不 了 现实 的 需求 ， 另 外 想 要 预测 未 来 技术 的 演变 
几乎 不 可 能 ， 所 以 每 个 人 都 有 自己 的 实现 方式 。 另 外 ， 主 流 的 产品 和 代码 库 中 经 常 
会 存在 一 些 bug, 极 大 地 限制 了 很 多 技术 在 实际 中 的 应 用 。 本 书 中 你 会 发 现 很 多 这 样 
的 例子 。 






















































































CA/Browser 论 坛 (CAB 论 坛 ) 是 由 证 书 颁发 机 构 、 浏 览 器 厂商 以 及 其 他 有 相关 权益 的 团体 自 
发 形成 的 组 织 ， 目 标 是 建立 和 推行 证 书 颁发 和 处 理 的 标准 。 一 开始 ，CAB 论 坛 是 为 了 确定 增强 
型 证 书 (EV 证 书 ) 的 颁发 标准 而 创建 的 ， 在 2007 年 EV 证 书 诞生 了 。 ”CAB 论坛 最 开始 只 是 一 些 
松散 的 组 织 , 但 是 随后 他 们 改变 了 关注 的 焦点 并 且 在 2012 年 改组 “同年 ,CAB 论 坛 发 布 了 Baseline 
Requirements for the Issuance and Management of Publicly-Trusted Certificates(《 公 共 可 信 证 书 的 颁 
发 和 管理 基本 要 求 》))， 简 称 为 Baseline Requirements。® 

CAB 论 坛 虽然 只 列 了 大 约 40 个 证 书 颁发 机 构 ， 但 是 Baseline Requirements 适 用 于 所 有 的 证 书 



































GD PKIX 工 作 组 ，http://datatracker.ietf.org/wg/pkix/charter/( IETF， 检 索 于 2014 年 7 月 16 日 )。 

© RFC 5280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile, http://tools.ietf.org/html/rfc5280( Cooper 
等 ，2008 年 5 月 )。 

G@) CAB 论坛 ，https://cabforum.org( 检索 于 2014 年 7 月 16 日 )。 

(@ EV SSL Certificete Cuidelines ( CAB 论 坛 ， 检 索 于 2014 年 7 月 16 日 )。 

@ 之 所 以 会 转变 注意 力 是 因为 他 们 认识 到 还 有 很 多 严重 的 安全 问题 还 没有 被 处 理 。 在 2011 年 , 大 大 小 小 的 CA 出 了 好 
几 个 问题 ， 给 人 的 总 体感 觉 就 是 PKI 生 态 体 系 的 安全 性 糟糕 透 了 。 甚 至 有 人 质疑 这 个 生态 还 能 存在 多 久 。 有 了 
Baseline Requirements 之 后 ，CAB 论 坛 解 决 了 很 多 这 类 问题 。 

© Baseline Requirements ， https://cabforum.org/baseline-requirements/( CAB 论 坛 ，2014 年 7 月 13 日 检索 )。 
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颁发 机 构 ; 这 份 文件 被 纳入 到 针对 证 书 颁发 机 构 的 WebTrust 审 计 程 序 中 ”"， 而 有 些 根 证 书库 运营 
商 ( 比如 Mozilla ) 就 明确 要 求 CA 必 须 符合 这 份 标准 。 

另外 一 个 相关 组 织 是 2012 年 9 月 份 成 立 的 IETF's Web PKI 工 作 组 ， 目 的 是 描述 PKI 在 Web 上 如 
何 真正 工作 起 来 。 ”这 个 组 织 的 目的 是 为 Web PKI 信 任 模型 、 帅 销 实践 、 证 书 中 各 字段 和 扩展 的 用 
法 、 证 书 吊销 列表 和 OCSP 响 应 制定 参考 文献 。 


3.3 王 书 


证 书 是 一 个 包含 公 钥 、 订 阅 人 相关 信息 以 及 证 书 颁发 者 数字 签名 的 数字 文件 , 也 就 是 一 个 让 
我 们 可 以 交换 、 存 储 和 使 用 公 钥 的 壳 。 因 此 ， 证 书 成 为 了 整个 PKI 体 系 的 基础 组 成 元 素 。 






































ASN.1、BER、DER 和 PEM 


抽象 语法 表示 法 一 (abstract syntax notation one，ASN.1 ) 是 支持 复杂 数据 结构 和 对 象 的 

定义 、 传 输 、 交 换 的 一 系列 规则 。ASN.1 是 为 了 支持 不 同 平台 的 网 络 通信 而 设计 ， 与 机 器 架 
构 以 及 语言 实现 无 关 。ASN.1 于 1988 年 最 先 在 X.208 中 定义 ， 最 近 的 更 新 是 在 2008 年 推出 的 
X.680 系 列 文档 中 。 
邮 ASN.1 以 一 种 抽象 的 方式 定义 数据 ， 如 何 编码 数据 则 在 另外 一 份 标 准 里 面 。 基 本 编码 规 
则 (basic encoding rules，BER ) 是 第 一 个 数据 编码 标准 。X.509 依 赖 于 的 唯一 编码 规则 
( distinguished encoding rules，DER ) 是 BER 的 子 集 ， 只 允许 一 种 方式 编码 ASN.1 的 值 ， 这 种 唯 
一 性 对 密码 学 尤其 是 数字 签名 的 使 用 非常 关键 。PEM ( privacy-enhanced mail 的 简写 ， 在 此 上 
下 文中 无 含义 ) 是 DER 使 用 Base64 编 码 后 的 ASCII 编 码 格 式 。ASN.1 比 较 复 杂 ， 除 非 你 在 做 密 
码 相 关 的 开发 工作 ， 一 般 情况 下 不 需要 与 它 打 交道 。 

大 多 数 的 证 书 都 是 PEM 格 式 ( 因为 这 种 格式 更 容易 发 送 、 复 制 和 粘贴 )， 当然 有 时 候 你 也 
许 会 遇 到 DER 格式 。 后 面 的 章节 我 们 会 提 到 如 何 使 用 OpenSSL x509 命 令 进行 不 同 格 式 之 间 的 
转换 。 

如 果 你 想 看 看 ASN.1 的 样子 ,可 以 随意 下 载 一 张 证 书 , 然后 使 用 在 线 ASN.1 解 码 器 来 查看 
ASN.1 的 结构 ?。 











3.3.1 “证书 字段 


证 书 由 一 些 字段 组 成 ， 在 版 本 3 里 还 包括 一 些 扩 展 。 从 表面 上 来 看 ,证书 的 结构 是 扁平 而 线 
性 的 ， 但 是 一 些 字段 还 包括 了 别 的 结构 。 























GD WebTrust Program for Certification Authorities, http://www.webtrust.org/homepage-documents/item27839.aspx ( Webtrust, 
检索 于 2014 年 5 月 25 日 )。 

人 @) Web PKI OPS , http://datatracker.ietf.org/wg/wpkops/charter/ ( IETF ， 检 索 于 2014 年 5 月 25 日 )。 

@)ASN.1 JavaScript decoder ，http://lapo.it/asn1js/( Lapo Luchini， 检 索 于 2014 年 5 月 24 日 )。 
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口 版 本 
证 书 一 共有 3 个 版 本 号 ， 分 别 用 0、1、2 编 码 表示 版 本 1、 版 本 2 和 版 本 3 。 版 本 1 只 支持 简 
单 的 字段 ， 版 本 2 增加 了 两 个 标识 符 〈 新 增 的 字段 )， 而 版 本 3 则 增加 了 扩展 功能 。 现 在 大 
部 分 的 证 书 都 采用 版 本 3 的 格式 。 

口 序列 号 
在 一 开始 , 序列 号 只 要 是 正 整数 即 可 ， 是 每 个 CA 用 来 唯一 标识 其 所 签发 的 证 书 。 但 是 在 出 
现 了 针对 证 书签 名 的 预先 前 级 攻击 之 后 ， 序 列 号 增加 了 更 多 的 要 求 来 防止 此 类 攻击 (在 4.5 
节 中 有 更 详细 的 介绍 ); 现在 序列 号 需要 是 无 序 的 (无 法 被 预测 ) 而 且 至 少 包括 20 位 的 炳 。 

口 签名 算法 

这 个 字段 指明 证 书签 名 所 用 的 算法 ， 需 要 放 到 证 书 里 面 ， 这 样 才能 被 证 书签 名 保护 。 

口 颁发 者 
颁发 者 ( issuer ) 字段 包括 了 证 书 颁 发 者 的 可 分 辨 名 称 ( distinguished name，DN )， 这 个 
字段 比较 复杂 ， 根 据 不 同 的 实体 会 包含 许多 部 分 。 举 例 来 说 ，Verisign 根 证 书 的 可 分 辨 名 
称 是 /C=US/0=VeriSign，Inc./OU=Class 3 Public Primary Certification Authority; 它 
包括 了 国家 、 组 织 和 组 织 单位 三 个 部 分 。 

口 有 效 期 

证 书 的 有 效 期 包括 开始 日 期 和 结束 日 期 ， 在 这 段 时 间 内 证 书 是 有 效 的 。 

口 使 用 者 
使 用 者 是 实体 的 可 分 辨 名 称 ， 和 公 雏 一 起 用 于 证 书 的 签发 。 在 自 签名 证 书 里 ,使 用 者 
( subject ) 和 颁发 者 (issuer ) 字段 的 可 分 辨 名 称 是 一 样 的 。 在 最 开始 ， 可 分 辨 名 称 里 面 的 
公用 名 (common name，CN ) 主要 用 于 服务 器 主机 名 【〈 例如 /CN=www.example.com 用 于 
www.example.com 域 名 的 证 书 ), 但 是 如 何 为 一 个 证 书 匹 配 多 个 主机 名 就 变 得 比较 麻烦 了 。 
如 今 ， 使 用 者 字段 已 经 废弃 ， 转 而 使 用 使 用 者 可 选 名 称 扩 展 。 

口 公 铀 
这 个 字段 包含 了 公 钥 ， 以 使 用 者 公 钥 信息 (subject public-key info ) 结构 呈现 ( 主要 是 算 
法 ID ， 可 选 参数 以 及 公 钥 本 身 )。 公 钥 算 法 在 RFC 3279 里 面 有 具体 说 明 。” 




















































































































注意 

在 版 本 2 里 面 新 增 了 两 个 字段 ， 分 别 是 颁发 者 唯一 ID (issuer unique ID ) 和 使 用 者 唯 
一 ID (subjectunique ID )。 在 版 本 3 里 面 使 用 授权 密 钥 标识 符 (authority key identifier ) 
和 使 用 者 密 钥 标识 符 ( subject key identifier ) 扩展 代替 了 版 本 2 的 颁发 者 唯一 ID 和 使 用 
者 唯一 ID。 





QD RFC 3279: Algorthms and Identifiers for the Internet X.509 PKI and CRL Profile, http://tools.ietf.org/html/rfc3279 ( Polk 
等 ，2002 年 4 月 )。 
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3.3.2 


证 书 扩展 





为 了 让 原本 死板 的 证 书 格式 变 得 更 加 灵活 ， 版 本 3 引入 了 证 书 扩展 。 每 一 个 扩展 都 包括 唯一 
的 对 象 标识 符 ( object identifier，OID )、 关 键 扩展 标识 需 以 及 ASN.1 格 式 的 值 。 如 果 将 某 个 扩展 
设置 为 关键 扩展 ， 那 么 客户 端 必须 能 够 解析 和 处 理 这 个 扩展 ， 否 则 就 应 该 拒绝 整 张 证 书 。 

口 使 用 者 可 选 名 称 























原本 使 用 者 证 书 字段 ( 更 准确 地 说 是 其 中 的 通用 名 部 分 ) 是 用 来 将 身份 信息 和 公 钥 绑 定 
在 一 起 的 。 而 在 实际 使 用 的 时 候 发 现 使 用 者 字段 不 够 灵活 ， 只 能 支持 与 一 个 主机 名 进行 
绑 定 ， 无 法 同时 处 理 多 个 身份 信息 。 使 用 者 可 选 名 称 扩展 就 是 为 了 替换 使 用 者 字段 ， 它 
支持 通过 DNS 名 称 、 卫 地址 和 URI 来 将 多 个 身份 绑 定 在 一 起 。 
























































口 名 称 约束 


口 基础 约束 


名 称 约束 扩展 可 以 限制 CA 签发 证 书 的 对 象 ， 这 样 命名 空间 就 在 可 控 范围 内 。 这 个 功能 非 
常 有 用 , 例如 , 它 人 允许 一 个 组 织 可 以 拥有 一 个 二 级 CA， 而 这 个 CA 只 能 签发 这 个 公司 所 拥 
有 的 那些 域名 下 的 证 书 。 有 了 这 个 限制 , 这 类 CA 就 不 会 影响 整个 生态 系统 了 (例如 ，CA 
不 能 签发 任意 网 站 的 证 书 ), RFC 5280 要 求 将 这 个 扩展 设置 为 关键 扩展 ,但 是 实际 情况 是 ， 
大 部 分 CA 都 将 其 设置 为 韭 关 键 扩展 ， 而 Baseline Requirements 也 明确 表示 允许 这 么 处 理 。 
主要 原因 是 有 一 些 产 品 无 法 解析 名 称 限制 这 个 扩展 ， 如 果 标 记 为 关键 扩展 ， 就 会 导致 这 
些 产 品 拒绝 此 类 证 书 。 












































基础 约束 扩展 用 来 表明 证 书 是 否 为 CA 证 书 ， 同 时 通过 路 径 长 度 ( path length ) 约束 字段 ， 
来 限制 二 级 CA 证 书 路 径 的 深度 ( 例如 限制 CA 证 书 是 否 可 以 签发 更 深 一 层 的 CA 证 书 以 及 
能 签发 多 少 层 )。 理论 上 , 所 有 的 CA 证 书 都 必须 包含 这 个 扩展 ; 而 实际 情况 是 ， 有 一 些 使 
用 版 本 1 协议 的 根 证 书 还 在 使 用 中 ， 它 们 是 没有 任何 扩展 功能 的 。 



































口 密 钥 用 法 














该 扩展 定义 了 证 书 中 密 钥 可 以 使 用 的 场景 ， 这 些 场景 已 经 定义 好 了 ， 可 以 通过 设置 来 让 
证 书 支持 某 个 场景 。 例 如 CA 证 书 一 般 都 设置 了 证 书签 名 者 ( certificate signer ) 和 CRL 签 
名 者 ( CRL signer )。 





口 扩展 密 钥 用 法 








为 了 更 加 灵活 地 支持 和 限制 公 钥 的 使 用 场景 , 该 扩展 可 以 通过 OID 支 持 更 多 的 场景 。 例如 
最 终 实体 证 书 一 般 都 拥有 id-kp-serverAuth 和 id-kp-clientAuth 两 个 OID， 代 码 签 名 证 书 
使 用 id-kp-codesigning OID 等 。 

虽然 RFC 5280 表 明 扩 展 密 钥 用 法 ( extended key usage，EKU ) 只 能 用 在 最 终 实体 证 书 上 ， 
但 在 实际 中 我 们 会 看 到 中 间 CA 也 会 带 上 这 个 扩展 ， 从 而 让 它 签 发 出 来 的 证 书 也 带 上 这 个 
限制 。 ”Baseline Requirements 还 特别 要 求 在 使 用 EKU 限 制 中 间 CA 的 同时 还 应 当 考 虑 使 用 











QD Bug 725451: Support enforcing nested EKU constraints, do so by default, https://bugzilla.mozilla.org/show_bug.cgi?id= 


725351 ( Bugzilla@Mozilla，2014 年 2 月 8 日 报道 )。 
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名 称 限制 。 

口 证 书 策略 
该 扩展 包含 了 一 个 或 多 个 策略 ， 每 个 策略 都 包括 一 个 OID 和 可 选 限定 符 ( qualifier )。 限 定 
符 一 般 包 括 一 个 URI， 从 这 个 URI 可 以 获得 完整 的 策略 说 明 。Baseline Requirements 要 求 每 
一 张 最 终 实体 证 书 需要 包括 至 少 一 条 策略 信息 ， 来 表明 该 证 书 是 在 何 种 条 款 下 签发 的 。 
另外 这 个 扩展 还 能 表明 证 书 的 验证 类 型 。 

口 CRL 分 发 点 
该 扩展 用 来 确定 证 书 吊销 列表 ( certificate revocation list，CRL ) 的 LDAP 或 者 HTTP URI 
地 址 。 按 照 Baseline Requirements， 每 一 张 证 书 都 至 少 需 要 包括 CRL 或 者 OCSP 吊 销 信 息 。 

口 颁发 机 构 信 息 访 问 
颁发 机 构 信 息 访问 扩展 表明 如 何 访 问 签发 CA 提供 的 额外 信息 和 服务 ,其 中 之 一 就 是 OCSP 
响应 程序 的 HTTP URI 地 址 。 信 赖 方 可 以 使 用 这 个 服务 来 实时 检测 证 书 的 吊销 信息 。 男 外 
还 有 一 些 证 书包 含 了 签发 CA 的 URI 地 址 ， 有 了 这 个 地 址 ， 即 便服 务 器 返回 的 证 书 链 中 缺 
少 了 签发 CA 的 证 书 ， 客 户 端 也 可 以 通过 下 载 签发 CA 重新 构建 证 书 链 。 

口 使 用 者 密 钥 标识 符 
该 扩展 包含 了 唯一 的 值 ， 可 以 用 来 识别 包含 特别 公 钥 的 证 书 ， 一 般 建 议 使 用 公 钥 本 身 来 
建立 这 个 标识 符 ( 例如 通过 散 列 )。 所 有 的 CA 证 书 都 必须 包含 这 个 扩展 , 并 且 它 的 值 要 与 
CA 所 签发 出 来 的 证 书 上 的 授权 密 钥 标识 符 的 值 一 样 。 

口 授权 密 钥 标识 符 
这 个 扩展 的 内 容 是 签发 此 证 书 的 CA 的 唯一 标识 符 ， 通 常用 于 在 构建 证 书 链 时 找到 颁发 者 
的 证 书 。 

RFC 5$280 还 定义 了 几 个 很 少 使 用 到 的 扩展 , 它们 分 别 是 增 量 CRIL 分 发 点 、 禁 止 任意 策略 、 颁 

















































































































发 者 可 选 名 称 、 策 略 限制 、 策 略 映射 、 使 用 者 目录 属性 、 使 用 者 信息 访问 。 





3.4 证 书 链 
在 大 多 数 情况 下 ， 仅 仅 有 最 终 实体 证 书 是 无 法 进行 有 效 性 验证 的 ， 所 以 在 实践 中 ,服务 器 需 


























要 提供 证 书 链 才 能 一 步 步 地 最 终 验证 到 可 信 根 证 书 ， 如 图 3-2 所 示 。 证 书 链 的 使 用 可 能 出 于 安全 、 
技术 和 管理 等 方面 的 原因 。 








口 保证 根 证 书 安全 
根 CA 不 仅 对 拥有 它 的 组 织 很 重要 ， 对 整个 生态 来 说 同样 至 关 重 要 。 首 先是 它 有 巨大 的 经 
济 价值 ， 因 为 很 多 根 证 书库 已 经 不 再 更 新 了 ， 所 以 以 前 那些 已 经 被 广泛 使 用 的 根 CA 是 不 
可 替代 的 。 再 者 ， 如 果 根 CA 的 私 钥 被 泄露 ， 那 么 就 可 以 签发 任意 域名 的 虚假 证 书 。 另 外 
如 果 根 CA 会 被 吊销 掉 ， 所 有 使 用 这 个 CA 签发 出 来 的 证 书 的 网 站 都 会 无 法 访问 。 
现在 仍然 还 有 很 多 CA 直接 使 用 他 们 的 根 证 书 直接 签发 最 终 实体 证 书 ， 这 其 实 是 非常 危险 
的 。Baseline Requirements 限 制 所 有 的 根 证 书 密 钥 只 能 由 人 手动 执行 命令 ( 自动 化 是 不 允 
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许 的 )， 也 就 是 说 根 证 书 密 钥 必 须 离 线 保 存 。 虽 然 还 有 很 多 依旧 在 使 用 的 旧 系统 有 这 个 漏 
洞 ， 但 是 直接 由 根 证 书签 发 最 终 实体 证 书 是 不 允许 的 。 






















































































ee ee 根 CA 证 书 
yy 中 间 CA 证 ( 自 签名 ) 
和 内 置 在 浏览 器 或 
服务 器 提供 者 操作 系统 中 














图 3-2 ”证 书 链 


口 交 又 证 书 
交叉 证 书 是 可 以 让 新 的 CA 立即 投入 运营 的 唯一 方式 。 因 为 想 要 在 短期 内 让 新 的 根 证 书 部 
署 得 足够 广泛 是 不 可 能 的 , 所 以 新 的 CA 都 会 找 已 经 进行 广泛 内 置 的 CA 对 他 们 的 根 密 钥 进 
行 签名 。 随 着 时 间 的 流逝 ， 那 些 老 的 设备 会 逐渐 淘汰 掉 ， 新 的 CA 才能 最 终 独 立 使 用 。 
口 划分 
CA 在 将 它 的 操作 分 散 给 很 多 二 级 CA 的 同时 有 可 能 会 带 来 更 多 的 风险 。 例 如 不 同 的 二 级 
CA 用 于 签发 不 同 的 证 书 类 型 , 或 者 由 不 同 的 业务 部 门 使 用 。 与 根 证 书 不 同 的 是 , 二 级 CA 
一 般 都 是 在 线 的 ， 而 且 使 用 自动 化 系统 签发 证 书 。 
口 委派 
还 有 一 些 情况 是 CA 希望 给 外 部 其 他 组 织 签 发 一 个 二 级 CA 。 例如 一 家 大 的 公司 可 能 希望 可 
以 自己 签发 它 所 拥有 的 那些 域名 的 证 书 ( 这 种 方式 通常 比 去 维护 私有 CA ， 并 确保 所 有 设 
备 都 内 置 这 个 CA 来 说 成 本 更 低 ) 有 时 候 一 些 组 织 希 望 能 够 完全 保管 这 个 二 级 CA ， 这 时 
候 CA 就 会 从 技术 上 限制 这 个 二 级 CA 只 能 签发 某 些 域名 ; 其 他 情况 下 CA 依旧 可 以 控制 二 
级 CA 签发 出 来 的 证 书 。 
服务 器 一 次 只 能 提供 一 条 证 书 链 ， 而 实际 上 可 能 存在 多 条 可 信 路 径 。 以 交叉 证 书 为 例 , 一 条 
可 信 路 径 可 以 一 直到 CA 的 主要 根 证 书 ， 另 外 一 条 则 是 到 可 选 根 证 书 上 。CA 有 时 候 会 为 同样 的 密 
钥 签发 多 张 证 书 , 例如 现在 最 常 使 用 的 签名 算法 是 SHA1 , 因为 安全 原因 正在 逐步 迁移 到 SHA256， 
CA 可 以 使 用 同样 的 密 钥 签发 出 不 同 签名 的 新 证 书 。 如 果 信 赖 方 恰好 有 两 张 这 样 的 证 书 ， 那 么 就 
可 以 构建 出 两 条 不 同 的 可 信 路 径 。 
路 径 的 建立 让 整个 事情 变 复 杂 了 ,而 且 导 致 了 很 多 问题 。 服 务 器 必须 提供 完整 并 且 有 效 的 证 
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书 链 , 但 是 因为 人 员 的 玻 忽 或 者 各 种 各 样 的 配置 问题 ， 导 致 证 书 链 的 配置 总 是 有 问题 ( 例如 需要 
在 不 同 的 地 方 配置 服务 器 证 书 和 证 书 链 剩 余 的 部 分 )。 根 据 SSL Pulse 的 数据 ， 大 概 有 5.9% 的 服务 
器 配置 的 证 书 链 是 不 完整 的 。” 

另外 ,因为 标准 的 模糊 、 不 完整 以 及 相互 矛盾 ,客户 端 在 建立 和 验证 路 径 上 不 可 避免 地 出 现 
了 很 多 安全 问题 。 历 史上 有 很 多 验证 库 在 验证 签发 CA 属于 哪个 根 CA 这 类 简单 问题 上 都 出 现 过 问 
题 。 如 今 最 常 使 用 的 那些 库 并 不 是 从 一 开始 就 安全 的 , 也 是 经 历 过 各 种 问题 , 打上 了 各 种 补丁 后 
才 慢 慢 经 受 住 了 实践 的 考验 。 更 多 的 例子 可 以 参考 6.1 闻 。 


3.5 “信赖 方 


信赖 方 为 了 能 够 验证 证 书 ， 必 须 收集 信任 的 所 有 根 CA 证 书 。 大 多 数 的 操作 系统 都 提供 一 个 
根 证 书库 , 从 而 在 一 开始 启动 的 时 候 就 能 够 建立 信任 。 几 乎 所 有 的 软件 开发 者 都 重用 了 底层 操作 
系统 提供 的 根 证 书库 , 唯一 的 例外 是 Mozilla, 为 了 保证 不 同 平台 的 兼容 性 , 它 维 护 了 自己 的 根 证 
书库 。 
口 Apple 
Apple 维 护 的 根 证 书库 主要 是 给 iOS 和 OS X 平 台 使 用 *， 如果 某 个 CA 希望 加 入 到 Apple 的 根 
证 书库 里 面 的 话 ， 就 需要 通过 权威 机 构 审 计 并 且 对 Apple 的 客户 有 商业 价值 。 

口 Chrome 
在 Linux 上 ，Chrome 使 用 Mozilla 的 根 证 书库 (通过 NSS 网 络 库 )， 除 此 之 外 Chrome 都 是 依 
赖 操作 系统 提供 的 证 书库 。 即 便 如 此 ，Chrome 在 底层 设施 的 基础 上 还 额外 增加 了 很 多 策 
略 。 “举例 来 说 : (1) Chrome 增 加 了 根 证 书 黑 名 单 ; (2) 增 加 了 能 够 签发 EV 证 书 的 CA 列表 ; 
(3) 要 求 所 有 EV 证 书 从 2015 年 2 月 开始 ， 必 须 支 持 证 书 透 明度 。 

口 Microsoft 
Microsoft 维 护 的 根 证 书库 主要 是 给 Windows 桌 面 版 .服务 器 版 以 及 移动 手机 平台 使 用 。" 同 
样 , 如 果 要 加 入 , 需要 至 少 一 年 的 审计 并 且 提 供 一 份 能 够 为 Microsoft 的 用 户 群 带 来 商业 价 
值 的 说 明 。 

口 Mozilla 
Mozilla 为 自己 的 产品 维护 了 一 个 公开 透明 的 根 证 书库 ”并 且 大 部 分 Linux 版 本 都 使 用 





























































































































QD SSL Pulse, https:/www.trustworthyinternet.org/ssl-pulse/ ( SSL Labs， 检 索 于 2014 年 7 月 )。 

© Apple Root Certificate Program, https:/www.apple.com/certificateauthority/ca_program.html ( Apple， 检 索 于 2014 年 5 
有 25H 

® Root Certificate Policy, http:/www.chromium.org/Home/chromium-security/root-ca-policy ( Chrome 安 全 ，2014 年 5 月 
258 ) 

(@ Introduction to The Microsoft Root Certificate Program, http://social.technet.microsoft.com/wiki/contents/articles/3281. 
introduction-to-the-microsoft- root-certificate-program.aspx ( Microsoft， 检 索 于 2014 年 5 月 25 日 )。 








© Mozilla CA Certificate Policy, https:/www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/ 
( Mozilla， 检 索 于 2014 年 5 月 25 日 )。 
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Mozilla 的 根 证 书库 。 在 mozilla.dev.security.policy 列 表 和 Mozilla 的 bug 跟 踪 系 统 上 经 常 
会 有 一 些 针对 制定 策略 的 热门 讨论 话题 。 
所 有 的 根 证 书库 都 要 求 CA 通过 专门 为 证 书 颁发 机 构 设 计 的 独立 审计 。 要 签发 DV 和 OV 证 书 ， 
必须 通过 下 面 至 少 一 项 审计 。 
口 针对 证 书 颁发 机 构 的 WebTrust 审 计 ” 
DOD ETSI TS 101 456 
DQ ETSI TS 102 042 
口 ISO 21188:2006 
要 想 签发 EV 证 书 ， 还 必须 通过 由 WebTrust 运 营 的 EV 证 书 审 计 程 序 。 


3.6 证书 颁发 机 构 


证 书 颁 发 机 构 (certification authority，CA ) 是 当前 互联 网 信任 模型 最 重要 的 部 分 ,他 们 可 以 
签发 任何 域名 的 证 书 ,， 所 以 是 非常 权威 的 。 表 面 上 看 来 似乎 是 一 门 稳 赚 的 生意 , 前 提 是 你 的 根 证 
书 要 内 置 到 尽 可 能 多 的 设备 中 。 那 么 具体 需要 做 什么 才能 成 为 一 个 公开 的 CA? 

(1) 建立 CA 组 织 。 

a. 在 PKI 和 CA 的 运营 上 非常 专业 。 

b. 需要 设计 一 个 健壮 、 安 全 、 隔 离 的 网 络 ， 以 便 在 支持 商业 运作 的 同时 ， 能 够 保护 根 证 
书 以 及 二 级 证 书 密 钥 的 安全 。 

c. 支持 证 书生 命 周期 管理 流程 。 

d. 符合 Baseline Requirements 的 规定 。 

e. 符合 EV SSL 证 书 指导 规范 。 

f 提供 全 球 化 的 CRL 和 OCSP 基 础 服务 。 

(2) 符合 当地 法 律 ， 这 意味 着 可 能 需要 按照 当地 的 法 规 要 求 获 取 相 应 许可 证 。 

(3) 通过 根 证 书库 认可 的 那些 审计 。 

(4) 将 你 的 根 证 书 内 置 到 尽 可 能 多 的 设备 、 软 件 中 。 

(5) 找 个 已 经 内 置 的 CA 完成 交叉 证 书 ， 之 后 就 可 以 开始 运作 了 。 

在 很 长 一 段 时 间 里 , 那些 很 早 就 进入 这 个 市 场 的 证 书 机 构 可 以 非常 容易 地 出 售 证 书 。 但 是 因 
为 竞争 越 来 越 激烈 ，DV 证 书 的 价格 下 降 得 非常 多 , 所 以 仅 靠 卖 DV 证 书 已 经 越 来 越 难 挣 钱 了 。 此 
外 ， 如 果 DNSSEC 和 DANE 得 到 广泛 使 用 ，DV 证 书 的 日 子 也 就 到 头 了 。 因 此 现在 CA 正在 转向 更 
小 众 、 但 可 能 更 有 赚 头 的 EV 证 书市 场 和 相关 服务 。 















































































































































人 证 书 颁 发 机 构 原 则 和 标准 ，http:/blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html ( WebTrust， 
检索 于 2014 年 5 月 25 日 )。 
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3.7 证 书生 命 周 期 


证 书 的 生命 周期 在 订阅 人 准备 证 书签 名 申请 ( certificate signing request，CSR ) 文件 ， 并 将 
它 提交 给 所 选 CA 的 时 候 就 开始 了 。CSR 文 件 的 主要 目的 是 携带 公 钥 信息 ， 并 且 证 明 订 阅 人 拥有 
对 应 的 私 钥 (通过 签名 来 证 明 )。CSR 还 设计 携带 额外 的 元 数据 ,但 实际 中 并 非 所 有 的 都 用 到 了 。 
CA 一 般 都 会 覆盖 CSR 文 件 的 一 些 内 容 并 且 将 其 他 信息 内 置 到 证 书 里 面 。 
CA 会 根据 不 同类 型 的 证 书 申请 ， 执 行 不 同 的 验证 流程 。 
口 域名 验证 
域名 验证 ( domain validated，DYV ) 证 书 需 要 CA 验证 订阅 人 对 域名 的 所 有 权 之 后 才能 进行 
签发 。 大 多 数 情况 下 CA 会 发 送 一 封 确认 邮件 给 域名 的 管理 邮箱 ， 管 理 员 通过 之 后 〈 按 照 
邮件 里 面 的 步 又 和 链接 ) CA 就 会 签发 证 书 。 如 果 无 法 通过 邮件 确认 , 那么 CA 通过 别 的 通 
信 手 段 〈 例 如 电话 或 者 邮寄 信件 ) 或 者 合理 的 方式 证 明 订 阅 人 对 域名 的 所 有 权 之 后 就 可 
以 签发 证 书 。 签 发 了 了 地址 证 书 的 步 又 也 是 类 似 的 。 
口 组 织 验证 
组 织 验 证 ( organization validated，OV ) 证 书 会 对 身份 和 真实 性 进行 验证 。 直 到 采用 了 
Baseline Requirements 之 后 ，OV 证 书 的 验证 流程 才 标 准 化 起 来 ， 但 是 在 如 何 签 发 OV 证 书 
以 及 如 何 将 这 些 信息 编码 到 证 书 中 等 方面 ， 依 旧 存 在 很 多 前 后 不 一 致 的 情况 。 
口 扩展 验证 
扩展 验证 (extended validation，EV ) 证 书 以 更 加 严格 的 要 求 验证 身份 和 真实 性 。 它 是 为 
了 解决 OV 证 书 缺 乏 的 前 后 一 致 性 而 引入 的 , 所 以 EV 证 书 的 验证 流程 非常 详细 ， 几 乎 不 会 
出 现 前 后 不 一 致 的 情况 。 
DV 证 书 的 签发 是 全 自动 的 ， 所 以 非常 快 ， 它 的 签发 时 间 主 要 取决 于 DNS 管理 员 确 认 邮 件 所 
需 的 时 间 ; 而 EV 证 书 则 相反 ， 可 能 需要 几 天 甚至 几 周 才能 拿 到 。 


注意 

攻击 者 有 可 能 会 向 CA 提交 那些 知名 度 高 的 域名 的 证 书签 名 申请 文件 。 因 此 CA 需要 具 
备 一 些 高 风险 的 域名 列表 ,对 于 这 类 域名 的 证 书 申请 采用 人 工 方式 进行 验证 , 否则 就 
拒绝 签发 证 书 。 这 也 是 Baseline Requirements 里 的 规定 。 


CA 在 验证 成 功 之 后 就 会 签发 证 书 。 除 了 证 书本 身 ，CA 还 会 提供 所 有 的 中 间 证 书 ， 从 而 构建 
证 书 链 到 对 应 的 根 证 书 上 ， 当 然 对 一 些 主流 的 平台 也 会 介绍 如 何 进行 配置 。 

在 证 书 有 效 期 范围 内 , 申请 者 可 以 在 他 们 的 生产 环境 中 使 用 该 证 书 。 如 果 证 书 对 应 的 私 钥 泄 
露 了 ,那么 就 需要 吊销 证 书 。 这 个 过 程 和 证 书 的 签发 有 点 类 似 。 有 一 种 说 法 叫 作 补 签证 书 , 不 过 
从 技术 角度 看 ,不 存在 补 签证 书 一 说 : 如 果 一 张 证 书 被 吊销 了 , 那么 就 需要 按照 证 书 申请 签发 流 
程 换 一 张 新 证 书 。 
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3.8 刷 销 


当 出 现 私 钥 泄露 或 者 不 再 需要 使 用 的 时 候 , 我 们 就 需要 吊销 证 书 。 但 是 这 里 存在 误 用 的 风险 。 
吊销 协议 和 流程 的 设计 是 为 了 确保 证 书 是 有 效 的 , 否则 就 需要 将 吊销 情况 通知 信赖 方 。 现 在 有 下 
面 两 种 证 书 吊销 标准 。 
口 证 书 吊 销 列 表 
证 书 吊 销 列表 ( certificate revocation list，CRL ) 是 一 组 未 过 期 、 但 是 却 已 经 被 吊销 的 证 书 
序列 号 列表 ，CA 维 护 了 一 个 或 多 个 这 样 的 列表 。 每 一 张 证 书 都 需要 在 CRL 分 发 点 ( CRL 
distribution point ) 扩展 中 包含 对 应 的 CRL 地 址 。CRL 最 大 的 问题 在 于 它 越 来 越 大 ， 实时 查 
询 起 来 会 非常 慢 。 
口 在 线 证 书 状 态 协议 
在 线 证 书 状 态 协议 ( online certificate status protocol，OCSP ) 允许 信赖 方 获得 一 张 证 书 的 
吊销 信息 。OCSP 服 务 器 通常 称 为 OCSP 响 应 程序 ，OCSP 响 应 程序 的 地 址 编码 在 颁发 机 构 
信息 访问 (authority information access，AIA ) 证 书 扩展 中 。OCSP 支 持 实 时 查询 并 且 人 解决 
了 CRL 最 大 的 缺点 ,但 是 并 没有 解决 所 有 的 吊销 问题 .因为 OCSP 的 使 用 带 来 了 性 能 、 隐 
私 方面 的 问题 和 新 的 漏洞 。 其 中 一 部 分 问题 可 以 通过 OCSP stapling 技 术 来 解决 , 它 允 许 服 
务 器 在 TLS 握 手 的 过 程 中 直接 租 和 信 OCSP 响 应 。 


3.9 ”弱点 


从 严格 的 安全 视角 来 看 , 互联 网 PKI 存 在 许多 大 大 小 小 的 弱点 , 在 本 节 中 我 会 将 它们 列 出 来 。 
当然 ， 在 讨论 这 些 弱 点 之 前 ,我 们 需要 先 看 看 它 的 历史 。 在 1995 年 ， 也 就 是 安全 Web 刚 刚 兴 起 的 
时 候 ， 互联 网 完全 和 现在 不 一 样 ， 而且 也 没有 现在 这 么 重要 。 在 那个 时 候 , 我 们 需要 加 密 协议 才 
能 开办 电子 商务 ,才能 赚钱 。 如 今 我 们 已 经 有 了 非常 不 错 的 电子 商务 , 但 是 我 们 想 要 的 更 多 。 对 
一 些 组 织 来 说 ， 加 密 真 的 是 生死 侯 关 。 

但 是 我 们 如 今 拥有 的 体系 还 是 之 前 设计 的 , 为 的 只 是 保证 电子 商务 操作 足够 安全 。 从 更 宽泛 
的 概念 上 来 讲 ， 这 个 体系 提供 了 我 称 为 商业 安全 ( commercial security ) 的 保障 。 用 相对 很 少 的 钱 
就 能 达到 这 样 的 安全 , 它 可 以 让 网 站 跑 起 来 更 快 ,可 以 允许 一 些 不 安全 的 实践 ， 而 且 几 乎 不 影响 
用 户 。 它 由 那些 追逐 利润 的 CA 厂商 ， 以 及 只 注重 扩大 市 场 份额 的 浏览 器 供应 商 所 控制 ， 而 他 们 
从 未 将 安全 列 人 最 高 优先 级 。 当 然 也 不 能 完全 归 答 于 他 们 ， 只 有 我 们 这 些 最 终 用 户 行动 起 来 , 提 
出 更 多 的 安全 需求 ， 他 们 才 会 作出 改变 。 

仅 有 CA 是 无 法 成 功 的 。 每 年 ， 数 百 个 CA 会 签发 出 儿 百 万 张 证 书 来 让 整个 世界 正常 运转 ， 
错误 率 非 常 低 。 当 然 在 安全 上 没有 想象 得 那么 美好 ， 但 是 整个 体系 运转 得 还 挺 好 。 尽 管 如 此 ， 
还 是 有 很 多 的 订阅 人 因为 要 付费 购买 证 书 而 对 CA 产生 不 满 。 他 们 不 想 掏 钱 ， 同 时 却 又 希望 拥有 
绝对 的 安全 。 

事实 上 ， 人 们 是 无 法 从 当前 这 个 不 愿意 破旧 立新 的 生态 体系 中 获得 绝对 安全 的 , 无 论 这 是 好 
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还 是 坏 。 尽 管 如 此 ， 问 题 正在 得 到 修复 ， 后 面 会 进行 介绍 。 好 了 ， 现 在 我 们 看 看 这 些 缺 陷 。 

口 未 经 域名 所 有 者 授权 就 可 以 签发 证 书 
从 原理 上 看 ， 我 们 现在 最 大 的 问题 是 : 任何 CA 都 可 以 在 未 经 域名 所 有 者 授权 的 情况 下 签 
发 该 域名 的 证 书 。 这 里 关键 的 问题 就 是 当前 没有 任何 技术 手段 可 以 确保 CA 不 会 产生 玻 漏 
和 安全 过 错 。 在 只 有 几 个 CA 的 那个 年 代 ， 这 可 能 不 是 个 问题 ， 但 是 现在 已 经 有 了 几 百 个 
CA， 这 就 成 了 一 个 大 问题 。 如 今 整个 PKI 体 系 的 安全 级 别 等 同 于 其 中 最 薄弱 的 环节 ， 而 
现在 我 们 已 经 有 了 很 多 潜在 的 薄弱 环节 。 所 有 的 CA 都 需要 经 过 审计 ,但 是 审计 的 质量 同 
样 存疑 。 例 如 一 家 荷兰 的 CA 公司 DigiNotar， 虽 然 经 过 审计 ,但 是 在 2011 年 ， 其 整个 安全 
体系 依旧 被 完全 入 侵 。 
那么 接 下 来 的 问题 就 是 ， 我 们 能 否 信任 CA 可 以 做 好 他 们 自己 的 工作 并 且 能 够 考虑 公众 利 
益 ? 我 们 应 该 允许 哪些 CA 有 权利 在 缺少 监督 的 情况 下 签发 证 书 ” 有 时 候 我 们 有 正当 的 理 
由 去 担心 这 些 CA 会 将 他 们 的 商业 利益 置 于 我 们 的 安全 需求 之 上 。 例 如 ，TrustWave 在 2012 
年 承认 签发 了 一 个 二 级 CA 用 于 流量 审查 ， 它 会 给 任意 网 站 签发 伪造 的 证 书 。 "虽然 
TrustWave 是 唯一 公开 承认 签发 这 类 证 书 的 CA， 但 还 有 很 多 传言 说 这 种 情况 并 不 少见 。 
很 多 人 担心 政府 部 门 会 滥用 这 个 体系 ， 伪 造 签发 任意 域名 的 证 书 。 我 们 真 的 可 以 确定 一 
些 CA 后 面 没 有 政府 的 背景 吗 ? 即便 真 的 没有 ， 我 们 又 如 何 确保 他 们 不 会 被 迫 做 政府 要 求 
的 事情 ?唯一 无 法 确认 的 是 ， 不 知道 政府 在 商业 CA 中 渗透 得 有 多 深 。 

口 缺少 信任 灵活 度 
还 有 一 个 理论 上 的 问题 是 缺少 信任 灵活 度 。 信赖 方 维护 了 包含 一 定数 量 CA 证 书 的 根 证 书 
库 , 这 样 CA 要 么 是 完全 可 信 ， 要么 完全 不 可 人 和信, 没有 中 间 情 况 。 理 论 上 ,信赖 方 是 可 以 
从 根 证 书库 里 移 除 CA 的 ， 但 实际 上 ， 只 有 出 现 严 重 不 称职 或 者 安全 泄露 问题 ， 或 者 CA 
体 量 很 小 时 , 才 会 出 现 上 面 这 种 情况 。 一 旦 CA 签发 了 大 量 的 证 书 ,就 会 出 现 大 而 不 倒 的 
情况 。 
某 些 象征 性 的 惩罚 还 是 有 可 能 的 。 例 如 ,过 去 有 信赖 方 吊销 过 某 些 不 称职 CA 的 EV 证 书 权 
限 。 另 外 一 个 想法 (从 未 尝试 过 ) 就 是 ， 对 于 有 过 恶劣 行为 的 CA ， 不 再 信任 他 们 未 来 签 
发 的 证 书 ， 只 信任 他 们 已 经 签发 的 证 书 。 

口 弱 域 名 验证 
DV 证 书 是 通过 不 安全 的 WHOIS 协 议 获取 域名 信息 , 然后 基于 域名 所 有 者 信息 来 签发 证 书 
的 。 此 外 ， 验 证 过 程 经 常 是 用 邮件 沟通 ， 本 身 也 是 不 安全 的 。 如 果 攻 击 者 劫持 了 域名 或 
者 获得 了 关键 邮箱 的 访问 权限 ， 那 么 要 获得 一 张 伪造 的 DV 证 书 会 非常 容易 。 另 外 还 可 以 
通过 窃听 CA 端的 网 络 来 攻击 CA 的 验证 过 程 。 

口 吊销 不 生效 
吊销 不 生效 的 情况 比较 普遍 。 我 们 发 现在 2011 年 有 几 个 CA 的 吊销 失效 了 。 在 每 个 案例 中 ， 



































































































































































































































Q Clarifying The Trustwave CA Policy Update ，http:/blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy- 
update.html ( Trustwave，2012 年 2 月 4 日 )。 
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信赖 方 不 得 不 打 补 丁 或 者 使 用 他 们 自 有 的 黑 名 单 通道 来 吊销 错误 签发 的 证 书 。 

有 两 个 原因 说 明 这 是 有 必要 的 。 首 先 在 每 个 系统 之 间 传 播 吊 销 信 息 会 有 延 返 。Baseline 

Requirements 允 许 CRL 和 OCSP 的 信息 有 效 期 最 多 可 以 是 10 天 ( 中间 证 书 则 是 12 个 月 )。 也 

就 是 说 吊销 信息 的 传播 需要 至 少 10 天 的 时 间 。 第 二 个 问题 是 当前 所 有 浏览 器 都 已 实现 的 
软 失败 ( soft-fail ) 策略 ; 它们 会 尝试 获取 吊销 信息 但 会 忽略 所 有 的 失败 。 主 动 网 络 攻击 
者 可 以 很 容易 地 阻 断 OCSP 请 求 ， 然 后 让 其 无 限期 地 使 用 本 已 无 效 的 证 书 。 
浏览 锅 厂 商 因此 决定 停止 吊销 检测 。CRL 首 当 其 冲 ， 紧 接着 是 OCSP。 目 前 的 趋势 是 利用 
专 有 的 机 制 ， 先 查询 少数 中 间 证 书 的 可 靠 吊 销 信息 ， 再 查询 其 他 的 吊销 信息 。 未 来 的 解 
决 方法 可 能 是 提供 一 种 新 的 吊销 信息 查询 机 制 ， 但 是 该 方法 现在 还 毫 无 进展 。 
你 可 以 在 5.10 节 中 了 解 到 有 关 本 主题 的 完整 介绍 。 

口 证 书 警 告 让 加 密 意 图 完全 失效 
互联 网 PKI ( 准确 说 是 Web PKI ) 最 大 的 失败 可 能 是 证 书 验证 的 松散 实现 。 很 多 库 和 应 用 
完全 绕 过 了 验证 过 程 。 浏 览 器 虽然 会 检测 证 书 ， 但 是 当 遇 到 无 效 证 书 时 ， 它 们 却 又 允许 
用 户 忽 略 呈 现 给 它们 的 警告 信息 。 根 据 一 些 统计 估计， 大 概 有 30%~70% 的 用 户 会 点 击 跳 
过 这 些 警 告 , 这 让 我 们 的 加 密 意 图 完全 失效 。 最 近 , 一 种 称 为 HTTP 严 格 传输 安全 ( HTTP 
strict transport security，HSTS ) 的 新 标准 出 现 了 ， 它 要 求 所 有 实现 它 的 浏览 器 用 错误 替换 
警告 ， 并 且 不 允许 忽略 错误 。 


3.10 ” 根 密 钥 泄露 


攻击 PKI 最 好 的 方法 之 一 是 直接 对 根 证 书 下 手 。 如 果 是 政府 部 门 , 可 以 直接 要 求 该 国 的 CA 交 
出 他 们 的 私 钥 。 如 果 觉 得 这 种 行为 存在 争议 或 者 非常 危险 , 那么 只 要 有 一 些 预算 ( 比如 一 百 万 美 
元 左右 ) 就 可 以 自己 创建 一 个 新 的 CA 品牌 ， 并 且 将 其 根 证 书 内 置 到 所 有 的 证 书库 里 面 。 他 们 甚 
至 可 能 觉得 没有 必要 去 好 好 运作 一 个 CA 以 便 进行 掩饰 ， 因 为 有 很 多 根 证 书 从 来 没有 签发 过 最 终 
实体 证 书 。 

这 种 攻击 互联 网 PKI 的 手段 在 之 前 的 很 多 年 都 是 行 之 有 效 的 ， 但 是 从 近 两 年 开始 ， 人 们 对 整 
个 生态 系统 发 生 的 事情 越 来 越 关注 。 浏览 需 建 立 了 证 书 跟 踪 的 插件 , 它们 会 在 新 证 书 出 问题 的 时 
候 警 告 用 户 。Google 在 非常 流行 的 Chrome 里 面 实 现 了 公 负 和 钉 扎 (public key pinning )。 电 子 前 线 基 
金 会 对 他 们 的 HTTPS Everywhere 插 件 进行 了 扩展 ， 增 加 了 对 根 证 书 使 用 的 监控 。?” 

另外 一 种 (在 过 去 和 现在 都 ) 不 这 么 复杂 的 方式 是 打破 现存 的 根 证 书 和 中 间 证 书 。 如 果 你 有 
权限 访问 中 间 证 书 对 应 的 私 钥 , 那 么 就 可 以 签发 任意 的 证 书 ,为 了 最 好 的 效果 ( 尽 可 能 不 被 发 现 )， 
签发 伪造 证 书 的 CA 最 好 与 真正 的 CA 一 样 。 很 多 站 点 ， 特 别 是 那些 大 型 站 点 ， 同 一 时 间 可 能 会 运 
营 着 多 张 证 书 。 如 果 签 发 CA 是 一 样 的 ， 那 么 要 如 何 区 分 伪造 证 书 和 真实 证 书 呢 ? 

2003 年 (已 经 是 10 多 年 前 的 事 了 )，Shamir 和 Tromer 估 计 花 费 1000 万 美元 特别 建造 的 机 器 可 
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QD HTTPS Everywhere，https://www.eff.org/https-everywhere( 电子 前 线 基金 会 ， 检 索 于 2014 年 7 月 3 日 )。 
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以 在 1 年 内 破解 1024 位 的 密 钥 〈 还 需要 额外 的 2000 万 美元 的 设计 和 开发 费用 ) “按照 那些 可 能 已 
经 公开 的 伪造 证 书 来 计算 , 这 对 国家 机 构 来 说 其 实 是 非常 廉价 的 。 这 些 机 构 通常 会 花费 几 十 亿美 
元 在 有 兴趣 的 项 目 上 。2013 年 ，Tromer 估 计 成 本 下 降 到 只 要 100 万 美元 。” 

从 Tromer 的 估计 来 看 , 有 理由 相信 所 有 1024 位 长 度 的 密 钥 已 经 被 不 同 国家 的 多 个 政府 机 构 破 
解 了 。 











注意 

对 中 间 证 书 来 说 ， 另 外 一 个 攻击 坐标 是 弱 SHA1 签 名 。 在 遇 到 碰撞 攻击 和 前 映像 攻击 
的 时 候 ，SHA1 最 多 只 能 提供 80 位 和 160 位 的 安全 。 中 间 证 书 更 容易 成 为 攻击 的 目标 ， 
因为 它们 不 像 根 证 书 那 样 引 人 注意 。 


在 某 些 情况 下 ， 有 理由 相信 和 最终 实体 证 书 也 被 上 厅 上 了 。 例 如 Google 在 2013 年 把 所 有 的 1024 
位 证 书 都 替换 掉 了 。” 

奇怪 的 是 ,既然 知道 了 攻击 弱 证 书 的 成 本 很 低 ,但 我 们 还 在 使 用 弱 根 证 书 .Mozilla 计 划 在 2013 
年 底 移 除 这 类 根 证 书 ,“ 但 是 因为 可 能 会 造成 很 大 的 影响 ， 所 以 他 们 延期 了 。 如 果 要 跟踪 他 们 的 
进展 ， 可 以 查看 bug #881553。"“ 在 写 这 本 书 的 时 候 ， 也 就 是 2015 年 7 月 份 ，Mozilla 计 划 在 2015 年 
末 移 除 剩余 的 弱 根 证 书 。” 


3.11 生态 系统 评估 


在 2010 年 之 前 ， 很 少 能 在 公开 场合 听 到 有 关 PKI 生 态 体 系 的 信息 。2010 年 起 ， 对 PKI 生 态 系统 
的 主动 扫描 和 监控 开始 了 。 在 2010 年 7 月 份 的 Black Hat USA 上 , 我 发 表 了 对 1.2 亿 域名 的 调查 结 
分 析 了 证 书 以 及 TLS 服 务 器 的 安全 。" 几 天 之 后 ， 电 子 前 线 基金 会 ( Electronic Frontier Foundation ， 
EFF ) 在 DEFCON 上 宣布 了 他 们 对 整个 IPv4 的 地 址 段 进行 调查 的 项 目 SSL Observatory。 “他 们 的 关 




















QD On the Cost of Factoring RSA-1024, http://tau.ac.il/%7Etromer/papers/cbtwirl.pdf ( Shamir 和 Tromer，2013 年 )。 

© Facebook’s outmoded Web crypto opens door to NSA spying, http://www.cnet.com/uk/news/facebooks-outmoded-web- 
crypto-opens-door-to-nsa-spying/( CNET，2013 年 6 月 28 日 )。 

@) Google certificates upgrade in progress, http://googledevelopers.blogspot.co.uk/2013/07/google-certificates-upgrade-in- 
progress.html ( Google Developers Blog，2013 年 7 月 30 日 )。 

(@) Dates forphasing out MD5-based signatures and 1024-bit moduli, https://wiki.mozilla.org/CA:MD5and1024 ( MozillaWiki, 
检索 于 2014 年 7 月 3 日 )。 

© Bug #881553: Remove or turn off trust bits for 1024-bit root certs after December 31, 2013 https://bugzilla.mozilla.org/ 
show_bug.cgi?id= 881553 ( Bugzilla@Mozilla，2013 年 6 月 10 日 报道 )。 

© Bug #1156844 - Turn off trust bits for Equifax Secure Certificate Authority 1024-bit root certificate, https://bugzilla. 
mozilla.org/show_bug.cgi?id=1156844 ( Bugzilla@Mozilla，2015 年 4 月 21 日 报道 )。 

© Internet SSL Survey 2010 is here! http://blog.ivanristic.com/2010/07/internet-ssl-survey-2010-is-here.html ( Ivan Ristié, 
2010 年 7 月 29 日 )。 

The EFF SSL Observatory，https://www.eff.org/observatory ( 电子 前 线 基金 会 ， 检 索 于 2014 年 5 月 26 日 )。 
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注 点 主要 在 证 书 上 , 但 是 最 大 的 贡献 是 公开 了 所 有 的 数据 , 点燃 了 很 多 人 的 想象 力 ,也 引领 更 多 
人 进行 了 类 似 的 扫描 。 之 后 EFF 还 发 布 了 “分 布 式 SSL 观 察 报告 "通过 他 们 的 HITTPS Everywhere 
浏览 器 插件 收集 了 证 书 链 的 信息 ,但 是 到 现在 他 们 还 没有 发 表 任 何 报告 。 

2011 年 ，Holz 等 发 布 了 他 们 的 数据 集 ， 数 据 来 源 于 第 三 方 对 整个 IPv4 段 的 扫描 ， 他 们 自己 对 
Alexa 排 名 前 100 万 的 域名 的 安全 服务 器 的 扫描 ， 以 及 对 他 们 的 研究 网 络 进 行 被 动 流 量 监控 。” 他 
们 也 公开 发 表 了 数据 。 

2012 年 4 月 ，SSL Labs 启 动 了 SSL Pulse 项 目 ， 该 项 目 从 Alexa 排 名 前 100 万 的 域名 中 抓 取出 
150 000 个 最 流行 的 安全 网 站 ， 然 后 每 月 定期 进行 扫描 。” 

同年 ， 国 际 计算 机 研究 中 心 ( International Computer Science Institute，ICSI ) 宣布 他 们 的 ICSI 
Certificate Notary 项 目 ， 该 项 目 会 监控 10 个 合作 伙伴 的 实时 网 络 流量 。 "他 们 的 报告 非常 有 趣 ， 展 
现 了 现实 生活 中 证 书 以 及 加 密 参 数 。 他 们 还 将 整个 PKI 生 态 系统 和 各 CA 之 间 的 可 视 化 关系 记录 保 
留 在 他 们 的 信任 树 (Tree ofTrust ) 中 。® 

到 2013 年 为 止 ， 最 全 面 的 研究 由 Durumetric 等 发 表 ， 他 们 对 整个 互联 网 进行 了 长 达 14 个 月 的 
110 次 扫描 。 "为 实现 该 项 目 ， 他 们 开发 了 一 个 专门 的 工具 ZMap ， 现 在 已 经 开源 了 。 他 们 所 有 的 
数据 都 已 经 在 网 上 公开 。 ”如果 你 想 获取 原始 数据 ， 在 同一 个 网 站 上 还 可 以 找到 Rapid7 发 布 的 月 
度 证 书 扫描 数据 。” 

调查 显示 没有 致命 的 问题 ， 但 是 这 些 报告 为 了 解 PKI 生 态 系统 提供 了 很 好 的 视角 ， 同 时 突出 
了 一 些 重要 的 问题 。 例 如 公众 其 实 不 知道 CA 会 定期 给 私 网 他 地 址 (任何 人 可 以 在 他 们 的 内 部 网 
络 使 用 ) 以 及 内 部 不 完整 的 域名 ( 例如 localhost、mail、intranet 等 ) 颁发 证 书 。 几 年 之 后 ， 大 规 
模 的 扫描 越 来 越 正 常 ， 还 有 一 些 成 就 ， 例 如 证 书 透明 度 (3.12 节 中 将 讨论 )， 它 依赖 于 所 有 可 用 
公开 证 书 。2014 年 2 月 ，Microsoft 宣 布 他 们 在 Internet Explorer 11 使 用 的 自动 远程 控制 技术 会 开始 
收集 证 书 数据 。" 他 们 希望 可 以 用 这 些 信息 来 快速 检测 到 针对 IE 浏 览 器 用 户 的 攻击 。 

同样 在 2014 年 2 月 ，Delignat-Lavaud 等 发 布 了 证 书 供 应 商 对 CAB 论 坛 指 导 方 针 的 遵守 情况 的 




































































QD HTTPS Everywhere & the Decentralized SSL Observatory, https://www.eff.org/deeplinks/2012/02/https-everywhere- 
decentralized-ssl-observatory ( Pter Eckersley, 2012 年 2 月 29 日 )。 

© The SSL Landscape - A Thorough Analysis of the X.509 PKI Using Active and Passive Measurements, https://pki.net. 
in.tum.de/node/15( Holz 等 ， 互 联网 评估 会 议 ，2011 年 11 月 )。 

@) SSL Pulse ,https://www.trustworthyinternet.org/ssl-pulse/ ( SSL Labs， 检索 于 2014 年 7 月 19 日 )。 

(@ ICSI Certificate Notary ，http://notary.icsi.berkeley.edu( ICSI， 检 索 于 2014 年 7 月 19 日 )。 

G@)ICSISSL Notary: CA Certificates，http:/notary.icsi.berkeleyedu/trust-tree/ (ICSI， 检 索 于 2014 年 5 月 26 日 )。 

© Analysis of the HTTPS Certificate Ecosystem, http://conferences.sigcomm.org/imc/2013/papers/imc257-durumericAemb. 
pdf ( Durumetric 等 ， 互 联网 评估 会 议 ，2013 年 10 月 )。 

(CO University of Michigan + HTTPS Ecosystem Scans，https://scans.io/study/umich-https (互联 网 扫描 数据 存储 库 ， 检 索 
于 2014 年 5 月 26 日 )。 

Rapid7 : SSL Certificates ，https://scans.io/study/sonar.ssl( 互联 网 扫描 数据 存储 库 ， 检 索 于 2014 年 5 月 26 日 )。 

A novel method in IE11 for dealing with fraudulent digital certificates, http://blogs.technet.com/b/pki/archive/2014/02/22/a- 
novel-method-in-iel1-for-dealing-with-fraudulent-digital-certificates.aspx ( Windows PKI Blog, 2014 年 2 月 21 日 )。 
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评估 。" 结 果 显 示 对 EV 证 书 的 遵守 情况 最 好 ， 在 引入 Baseline Requirement 之后， 不 但 严格 要 求 ， 
还 有 所 进步 。 








我 们 对 互联 网 PKI 有 多 了 解 ? 

证 书 供应 商 每 年 签发 数 百 万 张 证 书 。 真正 的 数字 仍 在 持续 增长 ， 但 我 们 估计 大 概 有 五 百 
万 张 证 书 在 用 。 除 此 之 外 还 有 非常 多 的 内 部 和 自 签 名 证 书 ， 但 是 因为 都 是 在 内 部 网 络 使 用 ， 
没有 人 可 以 评估 出 到 底 有 多 少 。 

还 不 清楚 现在 到 底 有 多 少 个 CA， 从 主要 的 根 证 书库 估计 ， 大 概 有 超过 100 个 共同 的 根 ， 
但 是 很 多 CA 拥有 不 止 一 个 根 。 还 有 超过 一 千 个 二 级 CA 证 书 ， 但 是 它们 主要 用 于 管理 ; 还 不 
清楚 到 底 有 多 少 组 织 有 能 力 直接 签发 证 书 ， 我 们 知道 排名 前 10 的 根 占 据 了 90% 的 市 场 ， 这 些 
大 公司 分 别 是 Symantec、Godaddy、Comodo、GlobalSign、Digicert、StartCom 和 Entrust。 











3.12 ”进步 


多 年 以 来 , 我 们 看 到 了 很 多 改变 PKI 的 提案 , 特别 是 在 2011 年 。 好 几 家 CA 在 那 一 年 受到 和 人 侵 ， 
让 我 们 觉得 整个 互联 网 都 要 瓦解 了 。 这 里 我 会 简单 介绍 一 下 这 些 提案 , 不 过 它们 中 的 大 部 分 还 未 
最 终 确 定 。 还 有 一 些 提案 在 宣布 之 后 没有 什么 进展 。 唯 一 的 例外 是 钉 扎 ( pinning ) 和 DANE， 这 
些 技术 几乎 可 以 在 实际 中 使 用 ， 所 以 第 10 章 会 进行 详细 介绍 。 
口 透视 
透视 "首先 在 TLS 验 证 过 程 中 引入 独立 公证 人 的 概念 。 由 客户 端 推 荐 可 信 的 公证 人 ， 而 不 
是 直接 单独 对 证 书 颁发 机 构 资质 的 有 效 性 作出 决定 。 从 不 同 的 有 利 位 置 去 访问 同一 个 服 
务 器 可 以 击败 客户 端 附近 发 生 的 攻击 。 公 证 人 可 以 对 服务 器 进行 一 段 时 间 的 跟踪 来 击败 
更 高 级 别 的 攻击 。 透 视 在 2008 年 启动 ， 目 前 仍 在 运作 。 
口 收 伊 
收敛 ”是 透视 的 一 个 分 支 ， 并 且 在 某 些 实现 方面 有 所 提高 。 为 增加 隐私 ， 发 给 公证 人 的 请 
求 需要 经 过 多 个 服务 器 ， 这 样 公证 人 只 知道 客户 端的 身份 ， 但 是 不 知道 请 求 的 内 容 。 为 
提高 性 能 ， 站 点 证 书 会 被 缓存 一 段 时 间 。 在 2011 年 收敛 刚 被 提出 的 时 候 势 头 很 猛 ， 但 是 
从 2013 年 开始 就 很 少见 有 人 提 它 了 。 最 可 能 的 原因 是 浏览 器 无 法 提供 足够 的 API 来 支持 想 
要 做 信任 决策 的 插件 。 
口 公 负 和 钉 扎 



































































































































QD Web PKI: Closing the Gap between Guidelines and Practices , http://research.microsoft.com/pubs/206278/ndss.pdf 
( Delignat-Lavaud 等 ，NDSS，2014 年 2 月 )。 

©® Perspectives Project, http://perspectives-project.org ( 检索 于 2014 年 5 月 27 日 )。 

@) Convergence，http://convergence.io( 检索 于 2014 年 5 月 27 日 )。 
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公 钥 钉 扎 解决 了 当前 PKI 生 态 系统 里 面 最 大 的 弱点 ， 也 就 是 任何 CA 都 可 以 在 未 经 域名 拥 
有 者 同意 的 情况 下 给 任意 域名 签发 证 书 。 有 了 钉 扎 之 后 ， 网 站 的 拥有 者 可 以 选择 ( 钉 ) 
一 个 或 者 多 个 他 们 信任 的 CA， 创 造 他 们 自己 单独 的 、 比 全 球 生态 系统 小 很 多 的 可 信 生 态 
系统 。 公 钥 钉 扎 现在 可 以 通过 Chrome 的 专 有 机 制 实现 ， 而 HTTP 公 铀 钉 扎 (public key 








pinning for HTTP ) 标准 也 在 制定 中 。 
口 DANE 

















DNSSEC 是 在 DNS 的 基础 上 扩展 了 完整 性 检查 的 一 组 新 协议 。 有 了 DNSSEC， 域 名 可 以 与 





一 组 密 钥 关联 起 来 ， 这 一 组 密 钥 用 于 给 对 应 DNS 区 进行 签名 。DANE 是 DNSSEC 和 TLS 验 
证 之 间 的 桥梁 。 虽然 DANE 也 可 以 用 来 做 钉子 , 但 是 它 最 今 人 感 兴趣 的 能 力 是 完全 绕 过 公 


























共 CA， 如 果 你 信任 DNS ， 就 可 以 用 它 做 TLS 验 证 。 


口 主权 密 铀 


主权 密 钥 (Sovereign Keys ) 提案 "在 现存 的 安全 体系 ( 包括 CA 和 DNSSEC ) 中 增加 了 更 
多 的 安全 保障 。 主 要 的 思路 是 域名 可 以 声明 使 用 主权 密 钥 ， 这 会 记录 在 公开 的 、 可 验证 














的 日 志 里 面 。 声 明之 后 ， 该 域名 的 证 书 只 能 使 用 这 个 主权 密 钥 进 行 签发 才 有 效 。 它 的 问 
题 是 没有 相关 条 款 规 定 如 果 主 权 密 钥 泄露 了 我 们 该 怎么 办 ， 这 样 就 让 该 提案 有 很 大 的 风 
险 。 主 权 密 钥 在 2011 年 被 提出 ， 但 是 还 处 在 构想 阶段 。 


























口 MECAI 

















CA 是 在 一 种 公证 人 的 概念 上 运行 的 体系 ， 而 互信 CA 基础 设施 ( mutually endorsing CA 
infrastructure，MECAI )“ 则 是 这 种 公证 人 的 一 个 变种 。 服 务 器 处 理 所 有 的 工作 ， 然 后 将 
最 新 的 证 人 发 送 给 客户 端 。 这 大 部 分 的 过 程 都 发 生 在 幕后 以 便 增 强 隐私 和 提高 性 能 。 




















MECAI 在 2011 年 被 提出 ,但 是 还 处 在 构想 阶段 。 
口 证 书 透 明度 


证 书 透明 度 ( certificate transparency，CT ) “是 一 套 审 计 和 监控 公开 证 书 的 框架 。CA 将 他 


们 签发 的 每 一 张 证 书 都 提交 到 公开 证 书 日 志 里 面 


， 然 后 获得 一 个 此 次 已 提交 的 加 密 证 明 。 





任何 人 都 可 以 监控 CA 签发 的 每 一 张 新 证 书 。 例 如 域名 拥有 者 可 以 监控 每 一 张 签发 了 他 们 
域名 的 证 书 。 这 个 想法 如 果实 现 的 话 ， 那 么 虚假 证 书 就 可 以 快速 地 被 发 现 。 提 交 证 明 可 以 

















通过 不 同 的 方法 交付 给 客户 端 (最 好 是 在 证 书本 身 内 部 )， 这 样 就 能 用 来 确认 该 证 书 已 经 
被 公开 了 。 从 2015 年 2 月 开始 , Chrome 要 求 所 有 2015 年 之 后 签发 的 EV 证 书 都 有 CT。"Chrome 
有 一 份 白 名 单 用 来 对 那些 在 2015 年 1 月 份 之 前 签发 的 EV 证 书 进行 识别 , 如 果 能 证 明 该 试点 


项 目 成 功 ，Chrome 的 开发 者 倾向 于 最 后 所 有 的 说 





F 书 都 需要 有 CT。 





口 TACK 





QD The Sovereign Keys Project，https:/www.eff org/sovereign-keys (EFF ， 检 索 于 2014 年 5 月 27 日 )。 
© Mutually Endorsing CA Infrastructure version 2, http://kuix.de/mecai/ (Kai Engert，2012 年 2 月 24 日 )。 


G@) Certificate Transparency, http:/www.certificate-transparency.org 

















( Google， 检 索 于 2014 年 5 月 27 日 )。 











(@ Extended Validation in Chrome, http:/www.certificate-transparency.org/ev-ct-plan ( Ben Laurie, 检索 于 2015 年 3 月 


16 日 )。 
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证 书 密 钥 可 信保 证 ( trust assurances for certificate keys，TACK ) "是 钉 扎 的 一 个 变种 ， 用 
来 钉 住 服务 需 提供 的 签名 密 钥 。 引 入 一 个 长 期 的 签名 密 钥 意味 着 要 做 更 多 的 工作 ， 但 是 
可 以 独立 于 整个 CA 体系 。 这 个 提案 的 不 同 之 处 在 于 ， 它 支持 所 有 使 用 TLS 进 行 保护 的 协 
议 ， 而 不 仅仅 是 HITP。TACK 于 2012 年 提出 ， 作 者 提供 了 一 些 主流 平台 的 概念 验证 ， 不 
过 直到 撰写 本 书 之 时 ， 还 没有 任何 客户 端 中 提供 官方 支持 。 

这 些 提 案 有 和 希望 得 到 实现 吗 ? 在 2011 年 当 大 部 分 提案 刚 出 来 的 时 候 , 确实 有 很 大 的 一 股 动力 
试图 改变 现状 。 不 过 在 之 后 实现 的 时 候 ， 人 们 才 认 识 到 问题 的 难度 。 我 们 很 容易 设计 在 大 多 数 情 
况 下 运转 良好 的 系统 ,但 是 当 遇 到 边界 问题 的 时 候 ， 大 部 分 系统 都 无 法 很 好 地 工作 。 

基于 公证 人 的 提案 所 面临 的 问题 是 ， 浏 览 器 的 API 才 刚刚 取得 进展 。 这 些 提 案 致 力 于 解决 本 

地 攻击 的 问题 , 但 是 遇 到 了 太 多 的 警告 。 通过 依赖 多 个 外 部 系统 来 获得 信任 ,这 些 提案 会 增加 决 
策 难 度 ( 例如 , 如 果 不 同 公 证 人 之 间 存 在 不 一 致 , 或 者 系统 中 来 了 一 个 流 谍 分 子 , rogue element )， 
而 且 还 引入 了 性 能 、 可 用 性 以 及 运行 成 本 等 多 个 问题 。 大 型 站 点 经 常会 给 同一 个 域名 部 署 多 个 证 
书 ， 特 别 是 从 不 同 的 地 理 位 置 观察 时 。 这 会 导致 的 一 个 假象 是 : 不 止 一 个 公证 人 是 正确 的 。 
钉 扎 的 提案 看 起 来 比较 有 和 希望。 有 了 钉 扎 之 后 ,站 点 所 有 人 就 可 以 选择 相信 谁 ， 这样 就 可 以 
解决 大 量 针 对 当前 系统 的 攻击 。Google 在 2011 年 部 署 了 钉 扎 ， 使 得 DigiNotar CA 被 入 侵 的 事情 曝 
光 。 他 们 的 专 有 钉 扎 机 制 在 这 时 候 还 侦 测 到 几 起 别 的 问题 。 硕 望 钉 扎 功 能 可 以 在 不 久 的 将 来 通过 
一 种 标准 化 的 机 制 对 每 个 人 都 可 用 。 

DANE 是 唯一 从 实质 上 改变 我 们 信任 机 制 的 提案 ,但 它 的 成 功 取决 于 操作 系统 和 浏览 器 对 
DNSSEC 的 支持 。 浏 览 器 供应 商 对 这 事 暂 时 没什么 激情 ， 不 过 操作 系统 可 能 会 最 终 实 现 。 对 于 低 
风险 的 业务 ，DANE 是 一 个 很 好 的 方案 ， 其 至 可 以 完全 替代 DV 证 书 。 男 外 一 方面 ， 高 风险 的 业 
务 对 DNS 的 集中 信任 可 能 是 一 个 潜在 的 问题 ; 关键 的 问题 在 于 无 法 避免 政府 的 各 种 影响 。 现在 支 
持 DANE 的 还 很 少 ， 不 过 随 着 DNSSEC 的 发 展 肯定 也 会 越 来 越 多 的 。 

考虑 到 Google 的 影响 力 ，CT 是 非常 有 可 能 成 功 的 ， 不 过 需要 经 过 几 年 时 间 ， 等 有 了 足够 多 
的 部 署 ， 就 会 完全 显现 出 效果 。 

总 的 来 说 , 我 们 有 两 个 方向 可 以 并 行 地 去 做 ,它们 会 形成 一 个 不 同安 全 等 级 的 多 层 系统 。 第 
一 个 方向 是 改进 当前 系统 。 例 如 Mozilla 通 过 它 的 根 证 书库 的 影响 力 对 CA 们 进行 施 压 ， 以 保证 他 
们 不 会 出 现 问题 。 事 实 上 ，CA 承 受 了 非常 大 的 压力 ， 导 致 在 2012 年 CAB 论 坛 的 重组 ， 并 且 确 定 
了 Baseline Requirements。 从 2010 年 开始 增加 的 监控 和 审计 行为 帮助 发 现 了 很 多 小 问题 ( 现在 大 部 
分 都 解决 了 )， 而 且 继 续 对 整个 系统 进行 检查 。 最 终 ，CT 可 能 通过 所 有 的 公开 证 书 存 储 库 来 实现 
公共 信任 的 完全 透明 化 。 

第 二 个 方向 是 使 高 风险 网 站 可 以 选择 更 高 的 安全 性 。 互 联网 PKI 在 实践 中 遇 到 的 最 大 问题 可 
能 就 是 我 们 希望 用 一 个 系统 解决 所 有 人 的 问题 。 实 际 情 况 是 ,有 很 多 的 业务 只 需要 简单 的 安全 ( 低 
成 本 、 低 付出 )， 一 小 部 分 业务 希望 能 够 有 足够 的 安全 而 且 愿 意 为 其 进行 改造 。 新 的 技术 ( 例如 
钉 扎 、HTTP 严 格 传输 安全 、 内 容 安全 策略 以 及 强制 OCSP stapling ) 可 以 带 来 更 高 级 别 的 安全 。 






























































































































































GTACK，http:/tack.io/ ( 检索 于 2014 年 5 月 27 
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目前 运行 的 公开 密 钥 基础 架构 有 一 个 天 生 的 缺陷 : 所 有 的 CA 都 可 以 在 不 经 域名 所 有 者 同意 
的 情况 下 给 任意 域名 签发 证 书 。 很 难 想象 这 个 已 经 使 用 了 20 多 年 的 系统 ,依靠 的 竟然 是 每 个 人 ( 数 
百 家 公 司 和 上 万 人 ) 去 做 正确 的 事 。 

现在 已 经 有 了 几 个 可 以 利用 的 攻击 方式 。 大 多 数 案例 中 的 验证 流程 都 是 攻击 的 目标 。 如 果 你 
能 够 让 CA 相信 你 是 域名 的 合法 拥有 者 ， 他 们 就 会 给 你 签发 证 书 。 其 他 情况 下 ,攻击 目标 就 是 CA 
自身 的 安全 体系 。 如 果 CA 被 入 侵 了 ， 攻 击 者 就 可 以 给 任意 网 站 生成 证 书 。 一 些 已 经 真相 大 白 的 
案例 显示 ， 某 些 CA 签发 了 二 级 证 书 ， 这 些 二 级 证 书 泄露 之 后 签发 了 大 量 的 网 站 证 书 。 

本 章 记 录 了 从 2001 年 第 一 个 热点 大 事件 开始 到 2013 年 年 末 为 止 ,PKI 最 引 人 关 注 的 事件 和 攻击 。 


4.1 VeriSign 签发 的 Microsoft 代码 签名 证 书 


2001 年 1 月 ，VeriSign 被 某 个 声称 代表 Microsoft 的 人 欺骗 ， 给 他 签发 了 两 张 代码 签名 证 书 。 要 
实现 这 种 攻击 手段 ， 攻 击 者 需要 建立 假 的 身份 ， 使 得 VerSign 的 一 个 或 多 个 员工 相信 申请 是 经 过 
授权 的 ， 并且 需要 为 每 个 证 书 支 付 400 美 元 的 费用 。 换 句 话 说， 这 需要 攻击 者 拥有 非常 深厚 的 系 
统 知 识 、 技 能 以 及 决策 能 力 。 这 次 的 问题 在 几 周 之 后 的 日 常 审计 中 被 发 现 。 公 众 在 3 月 末 ， 也 就 
是 Microsoft 发 布 了 安全 补丁 之 后 知晓 了 这 次 事件 。 

这 些 虚 假 证 书 在 操作 系统 上 无 法 提供 任何 级 别 的 信任 , 由 它们 进行 代码 签名 的 软件 在 运行 的 
时 候 也 会 出 现 警告 。 因 此 ， 它 们 仍 被 认为 对 所 有 Windows 系 统 的 用 户 有 和 危险; 但 因为 签名 信息 用 
的 是 “Microsoft Corporation”， 按 常理 来 说 ,大 部 分 用 户 在 遇 到 有 其 签名 的 软件 时 都 会 同意 安装 。 
用 Microsoft 自 己 的 话说 就 是 : ” 

使 用 这 些 证 书签 名 的 程序 无 法 自动 运行 或 者 绕 过 任何 正常 的 安 

动 程序 时 出 现 的 警告 对 话 框 会 提示 这 些 软件 是 由 Microsoft 进 行 数字 

会 误导 很 多 用 户 去 运行 该 程序 。 


发 现 这 个 错误 之 后 ，VeriSign 就 立刻 吊销 了 这 些 证 书 , 但 这 还 不 足以 保护 用 户 ， 因 为 这 些 虚 

























































































全 限制 。 然 而 ,在 启 
签名 的 。 很 明显 ,这 








QD Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard , https://technet.microsoft.com/library/security/ms01- 
017 ( Microsoft Security Bulletin MS01-017，2001 年 3 月 22 日 )。 
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假 证 书 没有 包含 任何 吊销 信息 。 因 此 ， 在 2001 年 3 月 末 ，Microsoft 不 得 不 发 布 一 个 紧急 的 软件 升 
级 将 这 些 虚假 证 书 加 入 黑 名 单 ， 并 且 向 用 户 解释 如 何 找到 它们 。" 这 在 随后 催生 了 关于 Microsoft 
Windows 系 统 对 证 书 吊 销 实现 的 在 线 讨论 。” 在 那 段 时 间 里 ，Microsoft 知 识 库 里 面 有 一 篇 文章 介 
绍 了 如 何 从 系统 里 移 除 可 信 的 证 书 机构 。” 


4.2 Thawte 签发 的 login.live.com 


2008 年 夏天 ， 安 全 研究 人 员 Mike Zusman 绕 过 Thawte 的 证 书 验 证 流程 ， 获 得 了 一 张 
login.love.com 的 证 书 。login.love.com 是 Microsoft 的 单 点 登录 验证 中 心 ， 有 几 百 万 用 户 。 

Mike 的 利用 有 两 个 前 提 : 第 一 ，Thawte 使 用 邮箱 作为 域名 所 有 权 的 验证 ; 第 二 ，Microsoft 
允许 所 有 人 注册 @live.com 邮 箱 地 址 。 最 常用 的 邮箱 地 址 别名 ( 例如 ， 主 机 管理 员 或 者 Web 管 理 
员 ) 都 是 被 保留 或 者 已 经 注册 的 ， 但 是 巧合 的 是 Thawte 人 允许 的 域名 验证 邮箱 范围 较 大 。Thawte 
接受 用 于 验证 的 一 个 邮箱 是 sslcertificates@live.com， 而 用 户 可 以 注册 获得 这 个 邮箱 。 一 旦 Mike 
获得 了 该 邮箱 的 访问 权 ， 获 得 证 书 就 是 迟早 的 事 了 。 

虽然 Mike 在 2008 年 8 月 份 公开 了 这 个 问题 ,“ 但 在 年 底 才 公布 CA 的 名 称 。" 他 在 第 二 年 的 
DEFCON 17 论 坛 上 发 表演 讲 ， 公 布 了 漏洞 利用 细节 。 

七 年 之 后 的 2015 年 ，Microsoft 又 发 生 同样 的 事情 ， 不 过 这 次 有 问题 的 是 live. 人 fr 域 名 。” 


4.3 ”StartCom 违规 (2008) 


2008 年 10 月 19 日 ，Mike Zusman 通 过 利用 StartCom 网 站 的 漏洞 ， 设 法 绕 过 了 StartCom 的 域名 
验证 。 "该 漏洞 是 用 来 控制 证 书签 发 的 , 他 可 以 利用 该 漏洞 通过 任意 域名 的 所 有 权 验 证 ( StartCom 
提供 两 步 验证 流程 : 第 一 步 需要 证 明 你 对 该 域名 拥有 所 有 权 ， 第 二 步 才 是 申请 证 书 )。 利 用 这 一 
发 现 ，Mike 申 请 并 获得 了 未 经 授权 域名 的 两 张 证 书 。 

他 的 攻击 很 快 就 被 发 现 了 ， 主 要 是 因为 他 尝试 继续 获取 授权 ， 并 且 申 请 paypalcom 和 
verisign.com 的 证 书 。 原 来 ，StartCom 还 有 第 二 层 的 控制 机 制 ， 那 就 是 高 危 网 站 黑 名 单 。 这 种 深度 


















































































































































Q@ 如何 识别 错误 地 颁发 的 VeriSign 代 码 签名 证 书 , http://support.microsoft.com/zh-cn/kb/293817( Microsoft, 检索 于 2014 

年 7 月 3 日 )。 

©® Microsoft, VeriSign, and Certificate Revocation, http://www.amug.org/~glguerin/opinion/revocation.html ( Gregory 工 . 

Guerin，2001 年 4 月 20 日 )。 

@ 如 何 从 受信 的 根 存 储 区 中 删除 根 证 书 ，https://support.microsoft.com/zh-cn/kb/293819/( Microsoft， 检 索 于 2014 年 7 
月 3 日 )。 

@ DNS vuln + SSL cert = FAIL, http://intrepidusgroup.com/insight/2008/07/dns-vuln-ssl-cert-fail/( Intrepidus Group 博 客 ， 
2008 年 7 月 30 日 )。 

@ Mike 关 于 Thawte 的 推 文 ，https://twitter.com/schmoilito/statuses/1089348859( 2008 年 12 月 31 日 )。 


© A Finnish man created this simple email account - and received Microsoft’s security certificate, http:/www.tivi.fi/Kaikki_ 















































uutiset/2015-03-18/A-Finnish-man-created-this-simple-email-account---and-received-Microsofts-security-certificate-321 
7662.html ( Tivi，2015 年 3 月 18 日 )。 


© Nobody is perfect, http://schmoil.blogspot.com/2009/01/nobody-is-perfect.html ( Mike Zusman ，2009 年 1 月 1 日 )。 
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防御 机 制 发 现 了 Mike 的 行为 ， 然 后 在 几 分 钟 之 内 吊销 了 所 有 非法 签发 的 证 书 。 
StartCom 发 布 了 一 份 详 细 的 报告 记录 此 次 发 生 的 攻击 和 事件 。"Mike 在 DEFCON 17 论 坛 上 讨 
论 了 该 事件 更 多 的 细节 。” 














4.4 ”CertStar (Comodo) 签发 的 Mozilla 证 书 


Mike Zusman 攻 击 StartCom 之 后 没 几 天 ，StartCom 的 首席 执行 官 兼 首席 运营 官 Eddy Nigg 就 发 
现 了 另外 一 个 CA 存在 相似 的 问题 。 ”有 一 些 垃圾 推广 邮件 会 误导 他 使 用 别 的 CA 更 新 证 书 ,， "通过 
追踪 这 些 邮 件 留 下 来 的 痕迹 ,Eddy Nigg 发 现 了 CertStar。 它 是 Comodo 在 丹麦 的 合作 伙伴 ,可 以 在 
没有 进行 域名 所 有 权 验 证 的 情况 下 签发 任何 域名 的 证 书 。 Eddy 开 始 获 得 了 startcom.org 的 证 书 , 然 
后 是 mozilla.org 。 毫 无 颖 问 ， 一 张 伪 造 的 Mozilla 高 危 域 名 证 书 引起 了 轩然大波 ， 人 们 在 
mozilla.devtech.crypto 邮 件 列 表 里 立 刻 对 此 事 开始 了 讨论 。” 

核查 了 111 张 由 CertStar 签 发 的 证 书 之 后 ，Comodo 吊 销 了 11 张 (另外 还 有 Eddy Nigg 申 请 的 两 
张 ) 无 法 通过 有 效 性 验证 的 证 书 ， 并 且 宣 称 没 有 理由 怀疑 它们 是 伪造 的 。” 
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2008 年 ， 由 Alex Sotirov 和 Marc Stevens 带 领 的 一 组 研究 人 员 完 成 了 对 互联 网 PKI 体 系 的 一 次 
华丽 攻击 ， 验 证 了 原本 只 处 于 理论 上 的 攻击 手段 : 他 们 设法 获得 了 一 张 伪 造 的 CA 证 书 ， 可 以 用 
来 给 世界 上 任意 一 个 网 站 签发 证 书 。” 

为 了 好 好 欣赏 一 下 这 次 攻击 , 你 需要 理解 之 前 针对 MD5 的 整个 攻击 历史 。 你 会 发 现 这 次 是 对 
MD5 的 最 后 一 击 ， 而 针对 MD5 的 攻击 最 早 可 以 追溯 到 2004 年 的 某 个 时 间 点 ， 在 那 一 年 其 实 已 经 
从 理论 上 宣布 MD5 是 可 以 攻破 的 。 换 名 话说 ， 这 次 攻击 是 持续 努力 的 结果 。 

Marc Stevens 和 他 团队 的 其 他 研究 人 员 在 2006 年 公布 了 不 同 特征 的 碰撞 证 书 的 相关 工作 ， 
在 2007 年 继续 改进 基于 前 级 选择 的 碰撞 技术 。 他 们 可 以 使 用 自己 的 (私有) 证 书 颁发 机 构 ， 在 
他 们 能 够 完全 控制 的 模拟 环境 里 面 生成 碰撞 证 书 。 然 而 ， 在 现实 生活 中 ， 有 诸多 限制 可 以 防止 





























QD Full Disclosure, https://blog.startcom.org/?p=161 ( Eddy Nigg，2009 年 1 月 3 日 )。 

© Criminal charges are not pursued: Hacking PKI ( Mike Zusman，DEFCON，2009 年 7 月 17 日 ): 幻灯 片 ( http://defcon.org/ 
images/defcon-17/dc-17-presentations/defcon-17-zusman-hacking pki.pdf ) 和 视频 ( http://www. youtube.com/watch?v= 
XCjoJePnRBY )。 

@) (Un)trusted Certificates, https://blog.startcom.org/?p=145 ( Eddy Nigg，2008 年 12 月 23 日 )。 

由 SSL Certificate for Mozilla.com Issued Without Validation, http:/www.sslshopper.com/article-ssl-certificate-for-mozilla. 
com-issued-without-validation.html ( SSL Shopper，2008 年 12 月 23 日 )。 

©) Unbelievable! , https://groups.google.com/group/mozilla.dev.tech.crypto/browse_thread/thread/9cOcc829204487bf ( mozilla. 
dev.tech.crypto，2008 年 12 月 22 日 )。 

© Re: Unbelievable!, https://groups.google.com/group/mozilla.dev.tech.crypto/msg/5f3824e5c2c55923( Robin Alden, 2008 
年 12 月 25 日 )。 

© MD5 considered harmful today, http://www.win.tue.nl/hashclash/rogue-ca/ ( Sotirov，2008 年 12 月 30 日 )。 
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这 一 利用 。 








MD5 和 PKI 攻 击 时 间 表 


口 1991 年 : Ronald Rivest 设 计 了 MDS5， 用 来 代替 MD4。 

口 1991~1996 年 : MD5 开 始 流行 起 来 ， 并 且 在 很 多 应 用 中 部 署 。 与 此 同时 ，MD5 暴 露 
出 一 些 缺陷 的 早期 迹象 "， 让 研究 人 员 开 始 建议 新 的 应 用 程序 使 用 更 加 安全 的 散 列 函 
数 。 四 

口 2004 年 : 王小云 等 人 ”证 明了 完全 碰撞 。 人 们 开始 认为 MD5 被 完全 攻破 了 ， 但 是 方法 

太 复 杂 ， 在 实际 中 还 无 法 实施 。 

口 2005 年 : Lenstra, Wang 和 de Weger 证 明了 现实 中 的 碰撞 "， 展 示 了 两 张 完 全 不 一 样 的 证 
书 ， 但 却 拥有 同样 的 MD5 散 列 值 ， 即 相同 的 签名 。 两 张 证 书 的 RSA 密 钥 空 间 是 不 一 样 

的 ， 但 是 其 余 信息 都 是 相同 的 (例如 证 书 上 的 身份 信息 )。 

口 2006 年 : Stevens, Lenstra 和 de Weger 提 出 一 项 新 的 技术 ”， 该 技术 最 开始 被 称 为 目标 碰 
撞 ， 之 后 改名 为 前 组 选择 碰撞 。 它 可 以 创建 两 张 身份 信息 不 同 ， 但 是 MD5 散 列 值 一 样 
的 证 书 。 有 了 实际 有 效 的 攻击 案例 ，MD5 已 经 完全 不 安全 了 。 

口 2008 年 : 虽然 MD5 被 认为 不 安全 已 经 有 十 年 之 久 ， 其 至 在 2006 年 还 有 一 次 实际 而 且 有 
效 的 攻击 证 明 , 但 是 有 一 些 证 书 机 构 还 在 继续 使 用 它 签 发 新 的 证 书 。 由 Sotirov 和 Stevens 
带领 的 一 组 研究 人 员 通 过 使 用 MD5 碰 撞 来 完成 针对 PKI 的 攻击 ， 并 获得 了 一 张 “伪造 ” 
的 CA 证 书 ， 可 以 用 它 来 生成 任何 网 站 的 有 效 证 书 。” 

口 2012 年 : 发 现 了 一 种 非常 复杂 的 恶意 软件 火焰 病毒 (也 被 称 作 Flamer 或 者 Skywiper ) 

影响 着 中 东 的 网 络 。 该 恶意 软件 被 认为 是 由 政府 赞助 的 ,并 且 之 后 发 现 它 针 对 Microsoft 

的 CA 证 书 采 用 了 MD5 碰 撞 的 方式 来 攻击 Windows Update 的 代码 签名 机 制 。 在 分 析 了 相 

关 证 据 之 后 ，Marc Stevens 推 测 该 攻击 使 用 了 之 前 完全 不 知道 的 攻击 手段 。 "没有 人 知 

道 火 焰 病 毒 已 经 出 现 了 多 久 ， 但 是 一 般 认 为 它 是 在 最 近 的 2~5S 年 内 变 得 活跃 的 。 




















QD Collisions for the compression function of MD5, https://www.cosic.esat.kuleuven.be/publications/article-143.pdf ( B. den 
Boer 和 A. Bosselaers, Advances in Cryptology, 1993 )。 

人 @) Cryptanalysis of MD5 Compress, http://cseweb.ucsd.edu/%7Ebsy/dobbertin.ps ( H. Dobbertin ，1996 年 5 月 )。 

@) Collisions for hash functions MD4, MD5, HAVAL-128, and RIPEMD ，https://eprint.iacr.org/2004/199.pdf ( 王小云 等 ， 
2004 )。 

(@ Colliding X.509 Certificates based on MD5S-collisions，http:Wwww.win.tue.nl/~bdewegerCollidingCertificates/( Lenstra、 
Wang 和 de Weger，2005 年 3 月 1 日 )。 

©) Colliding X.509 Certificates for Different Identities, http://www.win.tue.nl/hashclash/TargetCollidingCertificates/ ( Stevens、 
Lenstra 和 de Weger，2006 年 10 月 23 日 )。 

©) MDS considered harmful today, http:/www.win.tue.nl/hashclash/rogue-ca/ ( Sotirov 等 ，2008 年 12 月 30 日 )。 

@ What is Flame? ，http://www.kaspersky.com/flame ( 卡巴 斯 基 实 验 室 )。 

CWI cryptanalyst discovers new cryptographic attack variant in Flame Spy malware, http://www.cwi.nl/news/2012/cwi- 
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cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware ( CWI，2012 年 6 月 7 日 )。 
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4.5.1 ”前缀 选择 碰撞 攻击 


攻击 者 的 目的 是 创建 两 个 相同 MD5 签 名 的 文档 。 大 多 数 数字 签名 技术 是 对 数据 的 散 列 值 进 行 
签名 (不 是 直接 对 数据 本 身 进 行 签名 )。 如 果 你 可 以 创建 两 个 拥有 相同 MD5 散 列 值 的 文档 ， 那 么 
一 个 文档 的 签名 对 男 外 一 个 文档 也 是 有 效 的 。 你 需要 做 的 全 部 事情 就 是 将 其 中 一 个 文档 发 送 给 可 
信 机 构 ， 让 他 们 对 其 进行 签名 ， 随 后 将 签名 复制 到 另外 一 份 文档 〈 伪造 的 版 本 )。 

如 果 要 用 到 证 书 领域 ， 还 有 另外 一 个 问题 : 你 不 能 直接 发 送 自己 的 证 书 给 CA 进行 签名 。 相 
反 ， 你 会 发 送 一 些 信息 给 他 们 《〈 例 如， 域名 和 你 的 公 钥 )， 然 后 CA 会 生成 证 书 。 这 种 限制 措施 是 
有 意义 的 ， 但 是 依旧 可 以 被 绕 过 。 

碰撞 攻击 可 以 使 用 两 个 专门 构建 的 碰撞 块 来 完成 , 这 些 碰撞 块 用 来 操作 散 列 算法 , 目的 是 让 
两 个 不 同 的 输入 有 同样 的 状态 。 考 虑 到 两 个 输入 〈 一 个 是 合法 的 文档 ， 另 一 份 是 伪造 的 )， 就 散 
列 算 法 而 言 ， 碰 撞 块 会 破坏 它们 的 不 同 。 这 意味 着 两 件 事情 : (1) 你 必须 提前 知道 合法 文档 的 前 
级 (也 就 是 前 级 选择 名 称 的 来 源 ); (2) 你 需要 能 够 将 其 中 一 个 碰撞 块 插入 进去 。 

在 实际 中 是 不 可 能 将 碰撞 块 插入 到 最 末尾 的 , 这 也 是 为 什么 最 终 碰撞 的 文件 需要 有 相同 的 后 
缀 。 换 名 话说 ， 当 你 碰撞 成 功 之 后 ， 肯 定 不 希望 文件 里 面 有 任何 的 变化 ， 和 否则 散 列 值 又 变 了 。 

















































































































4.5.2 创建 碰撞 证 书 


要 在 现实 中 使 用 前 级 选择 技术 , 那么 我 们 的 攻击 就 必须 受制 于 那些 我 们 想 要 伪造 的 文档 的 结 
构 要 求 ， 而 且 要 遵从 文档 创建 和 数字 签名 的 流程 。 

一 般 的 数字 签名 会 有 以 下 这 些 限 制 。 

(1) 证 书 由 证 书 机 构 签发 ， 签 发 的 信息 来 自 提交 的 CSR 文 件 。 

(2) 证 书 的 总 体 结构 需要 按照 X.509 v3 规 范 ， 攻 击 者 无 法 改变 结构 ， 但 是 可 以 预测 。 

(3) 证 书 的 某 些 信息 会 直接 从 CSR 文 件 复制 过 来 ， 攻 击 者 可 以 完全 控制 这 一 块 。 更 严重 的 是 
证 书 里 面 的 公 钥 都 是 从 CSR 里 面 逐 字 复 制 的 。 这 个 公 钥 可 以 设计 为 随机 的 ,也 就 是 说 通过 精心 设 
计 、 看 起 来 像 随机 数 的 碰撞 块 不 会 引起 任何 警报 。 

(4) 证 书 机 构 还 会 将 一 些 别 的 信息 加 入 到 证 书 里 面 。 攻 击 者 也 许可 以 影响 其 中 一 部 分 (例如 ， 
证 书 过 期 时 间 ), 但 是 总 体 而 言 ， 他 们 这 里 能 做 的 事情 是 预测 内 容 会 是 什么 。 

从 上 面 这 段 信 息 可 以 明确 碰撞 前 缀 必须 在 公 钥 之 前 包含 所 有 的 证 书 字段 ( 也 就 是 存储 碰撞 块 
的 地 方 )。 因 为 碰撞 块 的 内 容 依 赖 前 级 ， 整 个 前 级 必须 提前 知道 ， 这 样 才能 创建 碰撞 数据 ， 并 且 
随后 发 送 给 证 书 机 构 。 大 部 分 前 级 里面 的 证 书 字段 都 是 公开 的 (例如, 颁发 者 信息 可 以 从 男 外 一 
个 由 同一 个 CA 签发 出 来 的 证 书 中 获得 )， 或 者 由 攻击 者 在 CSR 文 件 里 面 提供 ( 例如 ， 公 用 名 )。 
然而 ， 有 两 个 字段 是 由 CA 控制 并 且 无 法 实现 得 知 的 : 证 书 序列 号 以 及 过 期 时 间 。 暂 时， 我 们 假 
设 攻击 者 能 够 预测 这 两 个 字段 的 内 容 ; 之 后 我 们 会 看 看 如 何 实现 。 

我 们 还 得 解决 如 何 处 理 公 钥 之 后 的 部 分 〈 后缀 )。 原 来 ， 这 部 分 由 多 个 X.509 扩 展 组 成 ， 都 
是 可 以 提前 知晓 的 。 通 过 适当 的 对 齐 (MD5 按 照 块 操作 数据 )， 两 张 证 书 的 后 级 可 以 很 容易 变 得 
一 样 。 
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因此 ， 攻 击 过 程 如 下 所 示 。 

(1) 确定 CA 生成 的 证 书 前 级 是 什么 ， 以 及 确定 一 些 CSR 字 段 的 内 容 。 

(2) 给 伪造 的 证 书 刻意 构建 一 个 前 级 。 

(3) 确定 后 级 。 

(4) 从 前 面 三 步 的 数据 构建 碰撞 块 。 

(5) 构建 CSR 文 件 并 提交 给 证 书 机 构 。 

(6) 通过 将 伪造 的 前 级 、 第 二 部 分 的 碰撞 块 以 及 后 缀 合并 起 来 构建 一 张 伪造 的 证 书 ， 其 中 的 
签名 信息 从 真正 的 证 书 中 获取 。 


注意 

第 二 部 分 的 碰撞 块 和 后 缀 必须 是 伪造 证 书 的 一 部 分 ,这 样 攻击 才能 生效 ,但 是 又 必须 
通过 某 种 方式 隐藏 起 来 , 这 样 证 书 在 使 用 的 时 候 才 不 会 出 现 问 题 。 这 次 RapidSSL 的 攻 
击 中 ,一 个 称 为 肿块 (tumor ) 的 代码 被 放置 到 不 重要 的 X.509 v3 注释 扩展 中 ,在 处 理 
过 程 中 会 被 忽略 挤 。 有 经 验 的 人 可 以 发 现 这 些 异 常 , 但 是 事实 上 没有 人 会 在 这 个 级 别 
上 检测 证 书 。 


























4.5.3 ”预测 前 级 


现在 我 们 回 过 头 来 讨论 研究 人 员 是 如 何 设法 预测 那 两 个 字段 的 内 容 ( 过 期 时 间 和 序列 号 ) 的 ， 
因为 每 一 张 证 书 里 面 这 两 个 字段 都 是 不 一 样 的 。 事 实证 明 , 这 里 面 有 运气 的 成 分 , 再 加 上 证 书 机 
构 的 “帮助 "。 我 们 来 看 看 这 是 如 何 做 的 。 
口 RapidSSL 的 证 书签 发 过 程 是 完全 自动 化 的 ， 而 且 一 般 都 会 在 CSR 文 件 提交 之 后 的 6 秒 完成 
证 书 的 生成 。 这 就 意味 着 可 以 比较 精确 地 预测 证 书 的 过 期 时 间 ， 误 差 在 1 秒 左 右 ， 这 已 经 
足够 了 。 
口 RapidSSL 不 是 采用 随机 序列 号 ( 随机 序列 号 是 最 佳 实践 )， 而 是 采用 简单 的 计数 器 ， 每 签 
发 一 张 证 书 就 加 一 。 这 意味 着 如 果 你 快速 获取 连续 的 两 张 证 书 ， 就 可 以 预测 第 二 张 证 书 
的 序列 号 。 
在 那个 时 候 还 有 6 家 CA 会 签发 基于 MD5 的 证 书 , 但 是 RapidSSL 因 为 这 两 个 原因 , 再 加 上 缺乏 
其 他 防御 措施 ，" 最 终 让 整个 攻击 得 以 实现 ( 如 图 4-1 所 示 )。 然 而 ， 有 一 个 麻烦 事 是 使 用 该 小 组 
村 别 定制 的 、 由 200 台 PlayStation 3 控制 台 组 成 的 计算 集群 ， 还 需要 大 概 一 天 的 时 间 才 能 生成 一 个 
碰撞 。 因 此 ， 他 们 不 仅 需 要 选择 好 提交 CSR 的 准确 时 机 ， 还 要 预测 证 书 会 被 签发 的 序列 号 。 





































































































@ 很 显然 ，PKI 是 一 项 有 非常 多 技巧 的 业务 ， 这 也 是 为 什么 从 密码 学 角度 来 看 会 有 各 种 各 样 的 最 佳 实践 以 及 深度 防 
御 措 施 来 作为 最 后 的 忽 底 。X.509 v3 扩 展 那些 可 以 为 别 的 证 书 进 行 签名 的 证 书 设计 了 基本 限制 字段 扩展 ， 并 且 将 
CA 标志 位 的 值 设置 为 true。 该 扩展 还 有 一 个 参数 叫 作 pathlen， 可 以 用 来 限制 子 CA 的 深度 。 如 果 RapidSSL 的 CA 
证 书 的 pathlen 被 设置 为 0 ( 意味 着 不 允许 签发 出 二 级 CA )， 这 张 伪造 CA 证 书 将 毫 无 用 处 。 


















































4.5 伪造 的 RapidSSL CA 证 书 













































































































































































































































































































































































































































































































































































































































































AT21028DD10EA280 7725FD4360158FEC 
EF9047D484421526 111CCDC23C1029A9 
B6DEFAB577591DAE5 2BB390451C306356 
3F8aD950FAED586C CO065AC6657DE1CC6 
763BF5000BE8B45CE 7F4C90EC2BC6CDB3 
B48F62DOFEB7TC526 7244EDF6985BAECB 
D195FSDAO8BE6846 B175C8EC1D8F1E7TA 
94F1AAS5378A245AE 54EAD19E74C87667 








《相同 的 ) 





5 4 4 
K 可 
一 一 版 本 信息 -3 序列 643015" | 9 9 新 列 中 657 版 本 信息 一 "3 
签名 算法 "MD5 with RSA” 茵 区 签名 算法 *MD5 with RSA” 
丽 过 0S7 可 块 1 区 国家 \0S” 
组 织 御 42 组 织 
入 “Equifax Secure Inc.” 64 “Equifax Secure Inc.” 澡 
Es 74 了 2 涉 
本 公用 名 公用 名 康 
“Equifax Secure Global “Equifax Secure Global 
eBusiness CA-1” 块 2 eBusiness CA-1” 
121 119 
有 效 期 Erom 3 Nov. 2008 7:52:02 128 有 效 期 "from 31 Jul. 2004 0:00:00 
to 4 Nov. 2009 7:52:02” 153 151 to 2 Sep. 2004 0:00:00” 
7 | 块 3 ”EE 区 
组 织 A “MD5 Collisions Inc. 过 
“i.broke.the.internet.and 492 ECA Ph es dn 4 i 
.all.i.got.was.this.t- 213 md5) 
shirt.phreedom.org” 块 4 Be 公 导 算法 (RSA) 
2 2 模 数 (1024 位 ) 
强 单 位 DA 
组 织 单位 356 
“GT11029001” 
ee 266 BAA659C92C28D62A BOF8ED9F46A4A437 
并 ”组 织 单位 EEOE196859D1B303 9951D6169A5E376B & 
“See www.rapidssl.com/ 块 5 15E00E4BF58464F8 A3DB416F35D59B15 | 
于 resources/cps (c)08” 1FDBC43852708197 5E8FAOBSF77E39F0 二 
过 32AC1EADA4D2B3FA 48C3CE919BECF49C 
2 326 TCE15AF5C8376B9A 83DEE7CA20973142 
组 织 单位 73159168F488AFF9 2828C5E90F73B017 
“Domain Control Validated 4B134C9975D044E6 7E086C1AF24F1B41 
- RapidSSL(R)“ 块 6 这 
366 370 = 
公用 名 1 B75 -一 肯 数 -65537 
“i.broke.the.internet.and 384 这 密 钥 用 法 、…” 
.all.i.got.was.this.t- 396 基本 限制 "CA = TRUE” 
shirt.phreedom.org” 413 ee 
了 9 块 7 题 密 钥 标识 符 \…” 
各 444 
公 铀 算法 (RSA) “RSA” | 人 Wt 
_modulus (2048 bits) header | 和 
474 块 8 477 
B2D3 2581AA28E878B1E5 
OAD53COF36576EA9 5F06410E6BBACBO7 500 00 tumor (Netscape comment) 
17000000 5BFD6B1C7B9CESA9 生日 位 (96) S 33000000 275E39E089610F4E 
A3C5450B36BB01D1 53AAC3088F6FF84F Re | A3C5450B36BBO1D1 53AAC3088F6FF84F 
3E87874411DC60E0 DF9255F9B8731B5, es 块 9 3E87874411DC60E0 DE9: 9B8731B5， 
93C59FD046C460B6 3562CDB9RF1CA86B 第 一 个 近 碰撞 块 93C59FD046C460B6 3562CDB9AFICAB69 
1AC95B3C9637COED 67EFBBFECOSB9C50 1AC95B3C9637COED 67EFBBFEC08B9C50 
15761 
2F29BD83229E8E08 FAAC1370A2587F62 SS | 2F295D83229E8E08 FAAC1370A2587F62 
训 628A11F789F6DFB6 67597316FB63168A 块 10 628A11F789F6DFB6 67597316FB63168A 
S B49138CE2EF5B6BE setsdtsnteelon- 第 二 个 近 碰 挤 块 B49138CE2EF5B6BE Petre rr 
4215C9C130E269D5 457DA526BBB961EC | 4215C9C130E269D5 457DAS52 961EC 
6264F039E1E7BC68 D850519E1D60D3D1 < 和 6264F039B1E7BC68 D850519E1D60D3D1 
A3ATOAF80320A170 011791364F027031 Se 块 11 A3ATOAF80320A170 011791364F027031 
8683DDF70FD8071D 11B31304A5DA] 第 三 个 近 碰 挤 块 8683DDF70FD8071D 11B31304A5DCFOAE 
S50B1280E63692A0C 826F8F473: 6CR2 二 1 50B1280E63692A0C 826F8F4733DF6CA2 
0692F14F45BED930 36A32B8CD677AE35 
637F4E4C9A934836 D99F 0692F14F45BED930 36A32B8CD677AE35 
二 # 637F4E4C9A934836 D99F0203010001A3 
了 Wr 81BD3081BA300E06 03551DOF0101FF04 
密 钥 用 法 ™.… 04030204F0301D06 03551DOE04160414 
主题 密 钥 标 识 符 、...” 
CDA683FAAS56037F7 96371729DE4178F1 
证 书 吊 销 列表 分 发 点 …” 878955E7303B0603 551D1F0434303230 
30A02EA02C862A68 7474703A2F2F6372 
岗 6C2E676568747275 73742E636F6D2F63 
所 
LA 726C732F676C6F62 616C6361312E6372 
授权 密 钥 标识 符 “… 6C301F0603551D23 041830168014BEAB 
AO7472506B44B7C9 23D8FBASFFB3576B 
686C301D0603551D 250416301406082B 
扩展 密 钥 用 法 ~.…” 
0601050507030106 082B060105050703 
基本 限制 YNCR = FALSE” 02300C0603551D13 0101FF04023000 ” 
签名 算法 “MD5 with RSA” 签名 算法 “MD5 with RSA” 
签名 签名 




















AT21028DD10EA280 7725FD4360158FEC 
EF9047D484421526 111CCDC23C1029A9 
BE6DFABS577591DAES5 2BB390451C306356 
3F8AD9SOFAEDS86C C065AC6657DE1CC6 
7T63BF5000E8E45CE 7F4C90EC2BC6CDB3 
BA8F62DOFEB7C526 7244EDF6985BAECB 
D195FSDAOB8BE6846 B175C8EC1D8F1E7TA 
94F1AA5378A245AE 54EAD19E74C87667 











图 4-1 


真实 证 书 











(左边 ) 和 碰撞 的 RapidSSL 证 书 (右边 ) 的 对 比 (来源 : Benne de Weger ) 
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他 们 的 方法 是 在 周 日 晚上 展开 攻击 ， 这 是 CA 最 闲 的 时 间 段 。 他 们 会 在 周 五 获得 序列 号 计数 
器 的 值 ， 目 标 是 提交 一 份 CSR 文 件 之 后 序列 号 依旧 低 于 1000。 当 要 进行 攻击 的 时 候 ， 他 们 会 通过 






































申请 新 的 证 书 推动 计数 需 上 涨 , 目标 是 尽 可 能 地 接近 1000。 每 个 周末 他 们 都 有 足够 的 时 间 尝 试 三 
次 。 在 失败 了 三 周 之 后 ， 他 们 在 第 四 周 终于 成 功 了 。 





4.5.4 接 下 来 发 生 的 事 





在 计划 这 次 攻击 之 前 ， 研 究 人 员 就 采取 了 措施 ， 尽 可 能 地 降低 潜在 的 附加 风险 。 例 如 ， 给 伪 
造 证 书 构造 的 过 期 时 间 是 过 去 的 某 个 时 间 点 ,意味 着 即便 对 应 的 私 钥 泄露 了 , 这 张 证 书 也 是 无 用 


























的 。 在 公布 此 次 攻击 之 前 已 经 事先 告知 了 负责 浏览 器 可 信 库 的 重要 机 构 ( 例如 , Microsoft Mozilla 
等 )， 让 他 们 可 以 先 将 这 张 伪 造 CA 证 书 加 入 到 黑 名 单 里 。 他 们 还 事先 警告 了 RapidSSL,，“ 这 促使 
他 们 加 速 迁移 到 了 SHA-1。 他 们 在 公开 宣布 之 后 的 几 个 小 时 之 内 就 升级 到 SHA-256。 在 安全 问题 
全 部 修复 之 后 ， 人 研究 人 员 才 公布 前 级 选择 碰撞 技术 的 所 有 细节 。 























结果 , 这 次 攻击 只 花 了 657 美 元 的 证 书 费 用 , “当然 研 究 者 有 权限 访问 一 个 200 台 PS3 组 成 的 计 
算 机 集群 。EC2 上 同样 的 CPU 能 力 需要 花费 20 000 美 元 。 在 发 布 这 次 攻击 公告 的 时 候 ， 研 究 人 员 
估计 通过 一 些 优化 手段 ， 可 以 在 使 用 2000 美 元 的 情况 下 ， 用 一 天 的 时 间 重 复 这 次 攻击 。 


4.6 Comodo 代理 商 违规 


2011 年 ， 从 3 月 份 的 另 一 次 Comodo 泄 露 事件 开始 ,一 系列 的 事件 开始 浮 出 水 面 。 第 一 次 的 攻 
击发 生 在 3 月 15 日 , Comodo 的 其 中 一 个 注册 机 构 (registration authority, RA ) 被 “完全 和 人 侵 ”( Robin 
Alden 和 Comodo 首 席 技术 官 的 原 话 )， 导 致 给 7 个 网 站 一 共 签 发 了 9 张 证 书 ,，“ 相 关 站 点 如 下 。 











口 addons.mozilla.org 
口 global trustee 

口 google.com 

口 login.live.com 

口 login.skype.com 


口 login.yahoo.com 





口 mail.google.com 























显然 ， 除 了 不 知道 生成 名 为 global trustee 证 书 的 意图 之 外 ， 其 他 所 有 的 证 书 都 是 给 那些 每 天 
有 几 百 万 用 户 访问 的 站 点 使 用 。 幸 运 的 是 ,这 次 攻击 很 快 就 被 发 现 了 ,所 有 伪造 的 证 书 在 几 小 时 











QD Verisign and responsible disclosure, http:Wwww.phreedom.org/blog/2009/verisign-and-responsible-disclosure/( Alexander 





Sotirov，2009 年 1 月 6 日 )。 
© This morning’s MDS attack-resolved, 
2008 年 12 月 30 日 )。 





























@ 虽然 他 们 申请 了 大 量 的 证 书 ， 但 是 








月 22 日 )。 


http://www.symantec.com/connect/blogs/mornings-md5-attack-resolved ( Tim Callan, 





其 中 的 大 部 分 都 是 补 签 的 证 书 ， 而 RapidSSL 人 允许 免费 补 签证 书 。 
(@ Comodo Report of Incident, https:/www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html ( Comodo, 2011 年 3 





4.6 Comodo 代理 商 违 规 79 





























之 内 都 被 吊销 了 。 事实 上 其 至 不 清楚 攻击 者 是 否 拿 到 了 这 些 证 书 。Comodo 在 他 们 的 OCSP 响 应 服 
务 器 上 只 看 到 有 查询 Yahoo 证 书 的 记录 ( 而 且 只 有 两 次 )， 其 他 证 书 则 没有 出 现 过 任何 的 OCSP 请 
求 记录 。?” 

第 二 天 ，Comodo 开 始 通知 其 他 相关 方 ， 同 时 开始 修复 问题 。 ”虽然 Comodo 没 有 公开 被 人 侵 
RA 的 身份 , 不 过 之 后 攻击 者 声称 被 入 侵 的 是 意大利 Instant SSL 公 司 。 在 3 月 22 日 , Comodo 、Mozilla 
和 Microsoft 等 公司 一 起 公开 了 此 次 攻击 。 

一 个 有 趣 的 事情 是 , 有 一 些 人 提前 几 天 就 从 Chrome 源 代码 的 一 些 线索 中 发 现 了 此 次 攻击 ( 源 
代码 是 公开 的 )。Jacob Appelbaum 在 他 的 Tor 博 客 中 写 到 了 他 的 发 现 。” 

之 后 的 3 月 26 日 ，Comodo 又 公布 了 两 起 代理 商 被 人 侵 的 事件 , 不 过 其 中 一 个 后 来 被 确认 是 假 
报告 。 另 一 份 报告 是 真实 的 , 不 过 该 代理 商 并 未 签发 任何 伪造 证 书 。 显 然 , 在 3 月 15 日 出 事 之 后 ， 
新 采取 的 安全 措施 有 效 地 阻止 攻击 者 继续 签发 新 的 证 书 。” 

同样 在 3 月 26 日 ， 攻 击 者 开始 与 公众 进行 沟通 ,“ 我 们 也 在 这 时 知道 了 ComodoHacker ( 攻击 
者 给 自己 取 的 名 称 )， 结 果 之 后 其 实 背 后 还 有 更 次 的 故事 : 长 达 数 月 的 行动 , 涉及 众多 CA， 发 生 
了 相当 多 事件 。 你 会 在 之 后 读 到 更 多 关于 他 的 信息 。 

到 了 5 月 ，Comodo 又 一 次 被 卷 人 与 论 中 心 ， 因 为 他 们 的 一 个 代理 商 ComodoBR 的 网 站 上 被 发 
现存 在 SQL 注入 漏洞 。 "攻击 者 利用 该 漏洞 获得 用 户 的 隐私 数据 ( 包括 证 书签 发 请 求 ), 不 过 没有 
引起 其 他 与 PKI 有 关 的 后 果 。 

最 后 , 这 一 连 串 的 事件 暴露 出 ,要 运营 一 个 大 型 的 合作 伙伴 网 络 , 采用 监护 人 的 管理 方式 是 
很 难 实施 的 ,特别 是 在 PKI 这 样 一 个 复杂 的 生态 系统 里 面 。Comodo 宣 称 在 2008 年 的 事件 之 后 ,只 
有 9% 的 合作 伙伴 还 保留 着 签发 证 书 的 能 力 , 但 即便 如 此 还 是 晚 了 。 在 2011 年 的 第 一 次 事件 之 后 ， 
除非 过 了 Comodo 的 验证 ， 否 则 所 有 的 代理 商都 不 能 够 直接 签发 证 书 。 

更 重要 的 是 ， 这 些 事件 说 明 Comodo ( 也许 还 有 其 他 的 CA ) 没有 维护 一 个 现实 的 威胁 模型 。 
Robin Alden 在 关于 mozilla.dev.security.policy 的 一 张贴 子 中 承认 了 此 事 ( 我 在 重点 部 分 加 粗 了 ): 

我 们 之 前 建立 的 威胁 模型 ， 很 多 RA 可 能 无 法 很 好 地 完成 ， 其 至 试图 避免 做 有 效 性 
检查 ， 这 本 是 他 们 的 职责 ( 不 过 这 次 出 事 的 RA 都 没 出 现 过 这 两 种 情况 )， 不 过 我 们 没有 
充分 考虑 到 这 种 新 的 威胁 模型 RA 成 为 了 被 攻击 的 重点 ， 最 终 导 致 完全 入 侵 。 





































































































































































































Qz 严格 来 说 ， 这 并 不 能 完全 说 明证 书 没有 被 使 用 ， 因 为 主动 中 间 人 攻击 者 可 以 抑制 来 自 受害 者 的 OCSP 流 量 。 

© Bug 642395: Deal with bogus certs issued by Comodo partner，https:Wbugzilla.mozilla.org/show_bug.cgi?id=642395 ( 报 
道 于 2011 年 3 月 17 日 )。 

@) Detecting Certificate Authority compromises and web browser collusion, https://blog.torproject.org/blog/detectingcer- 

















tificate-authority-compromises-and-web-browser-collusion ( Jacob Appelbaum，2011 年 3 月 22 日 )。 

@ RE: Web Browsers and Comodo Announce A Successful Certificate Authority Attack, Perhaps From Iran ，https://groups. 
google.com/ forum/#!msg/mozilla.dev.security.policy/zgKmHOTIxn8/5SNNYcgPNqlgJ ( Robin Alden, 2011 年 3 月 29 日 )。 

© A message from Comodo Hacker, http://pastebin.com/74KXCaEZ ( ComodoHacker，2011 年 3 月 26 日 )。 

(OO New hack on Comodo reseller exposes private data，http:/www.theregister.co.Uk/2011/05/24/comodo reseller hacked/ 
(The Register，2011 年 5 月 24 日 )。 
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4.7 ”StartCom 违规 (2011) 


2011 年 夏天 ，StartCom 又 一 次 成 了 被 攻击 的 对 象 。 按 照 推 测 ， 攻 击 者 与 之 前 攻击 Comodo 的 
人 是 同一 个 。" 这 次 事件 发 生 在 6 月 15 日 ， 此 事 发 生 之 后 ，StartCom 停 止 签发 新 证 书 的 时 间 长 达 一 
周 。 下面 是 其 网 站 上 的 消息 : 

由 于 6 月 15 日 发 生 了 针对 我 们 系统 的 攻击 以 及 出 现 安全 泄露 ， 所 以 数字 证 书签 发 以 

及 相关 的 服务 暂时 停止 。 请 等 待 进一步 的 通知 。 订 阅 人 和 有 效 证 书 的 拥有 者 不 会 受到 影 

响 。 网 站 的 访客 以 及 依赖 于 有 效 证 书 的 第 三 方 不 会 受到 影响 。 我 们 对 此 带 来 的 不 便 深 表 

歉意 ， 感 谢 您 的 理解 。 

显然 ,虽然 没有 任何 伪造 的 证 书 被 签发 , 攻击 者 依旧 有 可 能 已 经 获取 了 某 些 敏感 数据 的 访问 
权限 ， 甚 至 可 能 非常 接近 公司 最 重要 的 根 密 钥 ” ， 竟 然 没 有 造成 严重 的 长 久 损 害 。 官 方 在 这 之 后 
也 没有 发 布 这 次 事件 的 报告 ， 只 能 通过 Eddy Nigg 的 一 篇 博客 获得 有 关 这 次 事件 的 更 多 内 容 。? 

















4.8 DigiNotar 


DigiNotar 是 从 兰 的 一 家 公司 , 主 营 业务 是 给 大 众 签发 证 书 , 同时 处 理 荷 兰 政府 电子 政务 项 目 
相关 的 PKI 部 分 ， 项 目 名 称 叫 作 PKIoverheid ( 其 中 的 overheid 表 示 荷 兰 政 府 )。2011 年 ，DigiNotar 
成 为 第 一 家 完全 被 人 侵 的 CA， 由 此 伪造 的 证 书 在 现实 生活 中 被 使 用 ， 而 且 可 能 产生 了 非常 严重 
的 中 间 人 攻击 。 毫 无 疑问 ，DigiNotar 的 根 证 书 完全 被 吊销 了 ,这 家 公司 也 逐渐 失去 了 业务 ,并且 
在 2011 年 9 月 份 自愿 宣布 破产 。 














4.8.1 公众 的 发 现 


8 月 27 日 , 伊朗 的 一 位 Gmail 用 户 报 告 访问 电子 邮箱 账户 时 好 时 坏 ， 此 时 真相 开始 逐渐 浮 出 水 
面 。 "根据 记录 的 证 词 ， 每 天 会 出 现 30~60 分 钟 的 “不 可 用 ”， 表 现 为 在 访问 的 时 候 弹 出 “不 正常 
证 书 ”的 安全 警告 ， 导 致 无 法 访问 。 后 来 发 现 用 户 描述 的 不 可 用 是 因为 Chrome 检 测 到 出 现 了 中 
间 人 攻击 ， 并 利用 他 们 自己 独 有 的 公 钥 钉 扎 技术 阻止 用 户 继续 访问 。 

接 下 来 的 几 天 , 我们 获悉 ,之 前 报告 的 问题 只 是 冰山 一 角 ， 背 后 是 一 次 从 未 听 说 过 的 、 影 响 
面 非常 大 的 攻击 ,预计 受 影响 的 IP 地 址 达到 300 000 个 。 事实 上 ， 所 有 这 些 IP 地 址 都 是 在 伊朗 ， 所 
有 被 拦截 的 证 书 都 是 由 DigiNotar 签 发 出 来 的 。 但 是 这 种 情况 怎么 可 能 发 生 ? 










































































QD Another status update message, http://pastebin.com/85WV10EL ( ComodoHacker，2011 年 9 月 6 日 )。 

© Response to some comments, http://pastebin.com/GkKUhu35 ( ComodoHacker, 2011 年 9 月 7 日 )。 

@) Cyber War，https:/blog.startcom.org/?p=229 ( Eddy Nigg，2011 年 9 月 9 日 )。 

@ Is This MITM Attack to Gmail’s SSL ?, https://productforums.google.com/forum/#!msg/gmail/3J3r2JqFNTw/oHHZLJeed- 
HMJ (alibo，2011 年 8 月 27 日 )。 
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4.8.2 一 个 证 书 颁发 机 构 的 倒 下 


DigiNotar 这 次 严重 的 安全 事件 甚至 影响 到 荷兰 政府 整个 数字 体系 ,所 以 荷兰 政府 立刻 控制 了 
DigiNotar 并 且 聘 请 外 部 安全 咨询 公司 Fox-IT 进 行 调查 。Fox-IT 在 一 周 之 后 的 9 月 5 日 发 布 了 第 一 次 
报告 。" 下 面 是 报告 中 与 此 次 事件 关联 最 大 的 部 分 内 容 : 

最 关键 的 服务 器 上 面 存 在 的 恶意 软件 在 正常 情况 下 是 可 以 被 杀毒 软件 检测 到 的 。 关 

键 组 件 的 分 离 并 没有 起 到 作用 或 者 运行 不 适当 。 有 很 强 的 迹象 表明 ，CA 的 服务 器 虽然 

在 物理 上 存放 在 非常 安全 的 环境 中 ， 但 是 依旧 能 够 通过 内 部 网 络 进行 访问 。 

整个 网 络 完全 被 入 侵 了 。 所 有 CA 服务 器 都 是 一 个 Windows 域 的 成 员 ， 导 致 有 可 能 
使 用 同一 个 用 户 名 密码 组 合 就 可 以 登录 所 有 服务 器 。 密 码 强 度 也 不 够 , 非常 容易 受到 暴 
力 破 解 。 

安装 在 对 外 公开 Web 服 务 器 上 的 软件 已 经 过 期 了 ， 而 且 没 有 打 任 何 补丁 。 

在 被 调查 的 服务 器 上 没有 任何 的 杀毒 软件 保护 。 

有 一 个 运行 着 的 入 侵 防御 系统 ,但 是 不 清楚 为 什么 它 在 那个 时 候 没有 阻止 外 部 Web 
服务 器 的 攻击 。 不 存在 安全 中 心 网 络 的 任何 日 志 记 录 。 

整个 完整 的 报告 在 一 年 之 后 的 2012 年 8 月 份 公 开 ， 共 100 页 ， 详 细 记 录 了 CA 被 人 侵 的 所 有 细 
节 。® 从 报告 中 我 们 知晓 最 开始 的 攻击 发 生 在 6 月 17 日 ， 一 个 对 外 公开 的 Web 服 务 器 运行 了 有 漏洞 
的 内 容 管 理 系 统 并 且 被 入 侵 了 。 从 那 时 起 直到 7 月 1 日 ,攻击 者 才 入 侵 到 最 安全 的 网 络 节 点 ,也 就 
是 存放 根 的 相关 设备 的 地 方 。 这 个 网 络 虽 然 没 有 与 互联 网 直接 连接 , 但 是 攻击 者 可 以 通过 一 些 不 
那么 重要 的 系统 作为 跳板 连通 过 去 。 
第 一 批 的 128 张 虚假 证 书 是 在 7 月 10 日 被 批量 签发 的 ， 大 约 是 在 攻击 者 获得 CA 服务 器 访问 权 
限 后 的 一 周 。 之 后 还 有 几 次 批量 签发 动作 ， 一共 给 53 个 独立 的 域名 签发 了 至 少 531 张 证 书 。 由 于 
被 入 侵 的 缺口 太 大 ,实际 签发 的 证 书 数量 无 法 得 知 ; 日 志 也 被 算 改 了 ,还 有 很 多 之 后 在 外 面 发 现 
的 证 书 无 法 在 对 应 的 数据 库 里 面 找到 任何 记录 。 

你 可 以 在 表 4-1 里 看 到 一 连 串 的 名 称 ， 包 含 了 一 些 访 问 量 很 高 的 网 站 、 证 书 颁 发 机 构 以 及 政 
府 机 构 。 































































































表 4-1 DigiNotar 攻 击 者 签发 的 证 书包 含 的 公用 名 


*.A*.Com *.*.org *.10million.org (2) 
*.android. com *.aol.com *.azadegi.com (2) 
*.balatarin.com (3) *.comodo.com (3) *.digicert.com (2) 
*.globalsign.com (7) *.google.com (26) *.JanamFadayeRahbar .com 
*.]ogmein.com *.microsoft.com (3) *.mossad.gov.il (2) 








QD DigiNotar public report version 1, https:/www.rijksoverheid.nl/ministeries/ministerie-van-binnenlandse-zaken-en-koninkrij- 
ksrelaties/documenten/rapporten/2011/09/05/diginotar-public-report-version-1 ( Fox-IT，2011 年 9 月 5 日 )。 

© Black Tulip Update, https://www.rijksoverheid.nl/documenten/rapporten/2012/08/13/black-tulip-update( 荷兰 政府 , 2012 

年 8 月 13 日 )。 
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*.mozilla.org 
*.skype.com (22) 
*.torproject.org (14) 
*.wordpress.com (14) 
Comodo Root CA (20) 
Equifax Root CA (40) 
login.1live.com (17) 
secure.logmein.com (17) 
VeriSign Root CA (21) 
www.balatarin.com (16) 
www. Equifax.com 
ww.google.com (12) 
ww. sis.gov.uk (10) 


*.RamzShekaneBozorg.com 
*.startssl.com 
*.walla.co.il (2) 
addons.mozilla.org (17) 
CyberTrust Root CA (20) 
friends .walla.co.il (8) 
login.yahoo.com (19) 
Thawte Root CA (45) 
wordpress.com (12) 
ww.cia.gov (25) 

www. facebook.com (14) 
www.hamdami .com 
ww.update.microsoft.com (4) 


( 续 ) 
*.SahebeDonyayeDigital .com 
*.thawte.com (6) 
*.windowsupdate.com (3) 
azadegi.com (16) 

DigiCert Root CA (21) 
GlobalSign Root CA (20) 
my.screenname.aol.com 
twitter.com (18) 

ww. 10million.org (8) 
Www.cybertrust.com 
www.globalsign.com 
www.mossad.gov.il (5) 


其 中 一 些 证 书 对 应 的 站 点 并 不 出 名 , 但 是 主要 用 来 传输 不 同 的 消息 。 证书 里 面 有 很 多 地 方 出 


现 了 如 表 4-2 所 示 的 这 些 短语 。 


表 4-2 ”证 书 里 面 内 置 的 消息 不 能 确定 翻译 是 否 准确 ) 


原始 消息 


翻 译 





Daneshmande Bi nazir 
Hameye Ramzaro Mishkanam 
Janam Fadaye Rahbar 

Ramz Shekane Bozorg 
Sahebe Donyaye 

Sare Toro Ham Mishkanam 


Sarbaze Gomnam 


Peerless scientist/ 杰 出 的 科学 家 

Will break all cyphers/ 破 解 所 有 的 密码 

I will sacrifice my life for my leader/ 我 会 为 我 的 领导 牺牲 生命 
Great cryptanalyst/ 伟 大 的 密码 学 家 

Possessor of the world (God)/ 世 界 的 掌控 者 ( 神 ) 

I will break Tor too/ 我 还 会 破解 Tor 

Unknown soldier/ 不 知名 的 战士 

















报告 中 还 透露 出 DigiNotar 在 7 月 19 日 就 发 现 了 这 次 入 侵 , 并 且 在 外 部 咨询 公司 的 帮助 下 , 在 




















~ 








日 底 清理 了 他 们 的 系统 。 不 笠 的 是 ， 破 坏 措 施 已 经 实施 。 大 概 是 担心 这 次 事件 可 能 导致 的 影响 ， 


DigiNotar 偷 偷 地 吊销 了 一 小 批 伪 造 的 证 书 ( 他 们 所 知道 的 那 一 部 分 证 书 ), 但 是 却 没有 通知 任何 人 。 


4.8.3 中间人 攻击 








考虑 到 入 侵 的 严重 程度 , 即使 DigiNotar 立 刻 对 外 宣布 被 入 侵 , 可 能 也 无 法 挽救 DigiNotar 的 命 
运 ,， 不 过 至 少 可 以 立刻 阻止 攻击 者 继续 使 用 伪造 的 证 书 。 我 们 之 所 以 可 以 知晓 ,是 因为 伪造 的 证 
书 里 面 带 上 了 OCSP 的 信息 ,调查 人 员 可 以 通过 检测 DigiNotar 的 OCSP 响 应 程序 的 日 志 来 跟踪 证 书 





的 部 署 情况 。” 






































GD 如 果 TLS 客 户 端 遇 到 了 包含 OCSP 信 息 的 证 书 ， 它 会 连 上 指定 的 OCSP 服 务 器 来 确定 证 书 是 否 被 吊销 了 。 这 种 方式 





忽略 掉 。 

















并 不 完全 准确 ， 因 为 中 间 人 攻击 者 可 以 阻塞 所 有 到 OCSP 服 务 器 的 流量 。 浏 览 器 遇 到 OCSP 通 信 失 败 的 时 候 会 直接 
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最 开始 ,在 证 书生 成 之 后 ， 从 日 志 里 面 发 现 了 几 次 请 求 : 可 能 是 攻击 者 正在 测试 。 第 一 次 
大 量 部 署 的 迹象 从 8 月 4 日 开始 , 一 直 持 续 增 加 到 8 月 29 日 , 这 一 天 也 是 浏览 器 是 销 DigiNotar 根 证 
书 、 同 时 杀 死 所 有 伪造 证 书 的 日 期 。 也 许 是 因为 攻击 手段 有 限 〈 最 可 能 使 用 的 是 DNS 缓存 污染 
手段 ), "从 被 攻击 的 用 户口 中 得 知 攻 击 不 是 连续 的 ， 而 是 某 一 时 间 突 然 爆发 ,也 可 能 是 因为 无 法 
一 次 性 处 理 大 流量 的 访问 ( 如 图 4-2 所 示 )。 










































































图 4-2”DigiNotar OCSP 在 2011 年 8 月 的 活动 (来 源 : Fox-IT ) 


此 外 ， 攻 击 者 可 能 只 在 意 收集 Gmail 的 密码 。 假 设 他 们 的 容量 有 限 ， 一 旦 从 某 个 来 源 P 请 求 
中 看 到 了 密码 信息 ， 就 会 切换 到 拦截 别 的 卫 。 有 了 密码 缓存 之 后 ， 他 们 就 可 以 在 闲暇 时 间 直 接 访 
问 Gmail 来 滥用 这 些 账 号 ( 因为 人 们 很 少 修改 密码 )。 

总 之 , 一 共有 来 自 298 140 个 独立 人 地 址 的 654 311 个 OCSP 请 求 ， 检 测 了 伪造 Google 证 书 的 帅 
销 状 态 。IP 地 址 有 大 约 95% 处 于 伊朗 境内 , 剩 下 的 查证 为 全 球 的 Tor 退 出 节点 、 代 理 或 者 虚拟 私有 
网 络 。 














4.8.4 ” ComodoHacker 宣布 负责 











ComodoHacker 于 9 月 5 日 在 他 的 Pastebin 账 号 中 宣布 对 这 次 DigiNotar 人 入侵 事件 负责 。“ 之 后 他 
又 发 了 三 篇 文章 ， 并 附 上 了 一 个 二 进 制 的 calc.exe 文 件 ， 该 文件 使 用 其 中 一 个 伪造 证 书 进行 签名 。 
该 证 据 强 有 力 地 证 明 他 参与 到 了 这 次 事件 中 。 文章 还 包括 了 此 次 攻击 的 一 些 细节 内 容 , 这 与 官方 
































GD DNS 缓存 污染 是 一 种 通过 利用 DNS 协议 的 弱点 以 及 实现 , 来 发 起 针对 DNS 基础 设施 的 攻击 。 使 用 一 些 聪明 的 技巧 

带 上 大 量 的 包 ， 有 可 能 使 得 DNS 缓存 服务 器 对 域名 的 代理 从 原本 真正 的 拥有 者 手中 切换 到 攻击 者 上 。 成 功 之 后 ， 

攻击 者 就 可 以 在 它 的 攻击 空间 里 面 决定 哪些 域名 返回 哪些 耳 地址。 一 次 成 功 的 攻击 可 以 影响 所 有 使 用 同一 个 缓存 
DNS 服务 器 的 用 户 。 在 伊朗 发 生 的 这 次 DigiNotar 中 间 人 攻击 中 ， 一 些 用户 反 馈 称 ， 将 他 们 的 DNS 设置 从 ISP 的 服 
务 器 改 为 别 的 服务 器 ( 例如 ，Google 的 )， 攻 击 就 停止 了 。 

© Striking Back..., http://pastebin.com/1AxH30em ( ComodoHacker，2011 年 9 月 5 日 )。 
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报告 提供 的 信息 完全 吻合 ( 官方 报道 是 在 很 久之 后 才 对 外 公开 的 )。 
我 是 如 何 绕 过 DigiNotar 互 联网 服务 器 之 后 的 6 层 网 络 的 ; 如 何 找到 密码 ; 如 何在 打 
满 补丁 和 最 近 更 新 的 系统 里 面 获得 系统 权限 ; 如 何 绕 过 它们 的 nCipher NetHSM、 硬件 密 
钥 、RSA 证 书 管 理 员 以 及 内 部 第 6 层 的 “证 书 专用 网 络 ”( 这 个 专用 网 络 与 整个 互联 网 完 
全 隔绝 ); 如 何在 防火 墙 只 允许 80 和 443 端 口 而 不 允许 反 向 和 直接 的 VNC 链 接 的 情况 下 获 
取 完 整 的 远程 桌面 连接 ; 还 有 很 多 很 多 …… 
然而 依旧 不 能 确定 ComodoHacker 是 否 真正 参与 了 在 伊朗 的 这 次 攻击 。 虽 然 他 很 高 兴 地 
对 此 次 的 CA 入 侵 负 责 , 但 是 ComodoHacker 说 自己 并 没有 参与 到 中 间 人 攻击 。 他 发 的 第 二 
DigiNotar 文 章 包 含 了 下 面 的 内 容 : 
我 就 是 一 个 人 , 不 要 再 说 我 在 伊朗 组 建 了 一 支 军队 。 如 果 有 人 在 伊朗 用 了 我 生成 的 
证 书 ， 这 和 我 没有 关系 。 
在 之 后 的 一 篇 文章 中 ， 他 重复 了 此 类 声明 : 
就 我 一 个 黑客 ,我 就 是 将 一 些 证 书 分 享 给 伊朗 的 一 些 人 , 仅 此 而 已 …… 我 就 一 个 人 ， 
你 们 知道 就 好 。 
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谁 是 ComodoHacker? 


ComodoHacker 于 2011 年 第 一 次 出 现在 公众 面前 ， 留 下 了 PKI 相 关 的 一 些 痕迹 ， 以 及 一 连 串 
的 针对 多 个 证 书 机 构 的 攻击 。 第 一 次 批量 的 攻击 发 生 在 2011 年 的 3 月 ，Comodo 的 多 个 合作 伙伴 
被 入 侵 了 。 伪造 的 证 书 被 签发 出 来 ， 不 过 很 快 就 被 发 现 ， 这 也 阻止 了 这 些 伪 造 证 书 被 利用 。 

StartCom 是 在 6 月 份 被 攻击 的 ， 攻击 者 获得 了 一 部 分 的 成 功 ， 不 过 根据 双方 所 说 ,没有 签 
发 出 任何 伪造 证 书 。StartCom 将 签发 证 书 业 务 停 了 一 段 时 间 ， 但 是 没有 提供 任何 关于 此 次 事 
件 的 进一步 细节 。 

之 后 就 是 DigiNotar 受 到 攻击 ， 这 导致 整个 DigiNotar 证 书 机 构 被 完全 入 侵 ， 甚 至 动摇 了 整 
个 PKI 生 态 体系 。 

ComodoHacker 在 一 条 消息 里 提 及 对 GlobalSign 的 攻击 是 一 次 成 功 的 入 侵 , 所 以 GlobalSign 
停止 了 一 段 时 间 的 证 书签 发 业务 并 且 启 动 调查 。 他 们 之 后 发 现 是 对 外 Web 服 务 器 被 入 侵 了 ， 
而 不 是 CA 体系 。" 唯 一 出 问题 的 是 www.globalsign.com 域 名 的 私 钥 被 拿 到 了 。 

在 Comodo 事 件 之 后 , 攻击 者 开始 通过 ComodoHacker 账 号 在 Pastebin 上 与 公众 开始 对 话 ，? 
总 共 留 下 了 10 条 信息 。 在 DigiNotar 事 件 之 后 ， 他 在 Twitter 上 以 ich sun 的 名 字 发 表 了 一 些 短 暂 
的 推 文 ， 并 且 操 作 着 ichsunx2 账 号 。 “虽然 他 最 开始 出 现 的 时 候 很 享受 聚光灯 下 的 感觉 ， 其 至 











QD September 2011 Security Incident Report, https://web.archive.org/web/20140202142309/https:/www.globalsign.com/ 
company/press/121311-security-incident-report.html ( GlobalSign，2011 年 12 月 13 日 )。 

©® ComodoHacker’s Pastebin ，http:/pastebin.com/u/ComodoHacker ( 检索 于 2014 年 8 月 7 日 )。 

@ ich sun 的 Twitter，https://twitter.com/ichsunx2 ( 检索 于 2014 年 8 月 7 日 )。 
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做 了 一 些 专访 ， 不 过 在 2011 年 9 月 最 后 一 次 在 Twitter 上 与 公众 联系 之 后 ， 他 就 消失 了 。 





4.9 DigiCert Sdn. Bhd. 


2011 年 11 月 ， 马 来 西亚 的 证 书 机 构 DigiCert Sdn. Bhd. 被 发 现 签发 了 危险 的 不 安全 证 书 。 这 个 
公司 与 美国 另外 一 家 更 出 名 的 公司 Digicert Inc. 没 有 关系 。DigiCert Sdn. Bhd. 是 相继 与 CyberTrust 
(Verizon ) 和 Entrust 有 过 合作 关系 的 一 家 中 间 证 书 颁发 机 构 。 一 共 发 现 22 张 证 书 存 在 弱 密 钥 问 题 ， 
而 且 缺 少 一 些 关 键 的 属性 。 

口 不 安全 的 $12 位 密 铀 

只 有 512 位 长 度 的 密 钥 使 用 暴力 破解 可 以 非常 容易 地 重 构 出 来 。“ 有 了 密 钥 之 后 ， 那 些 恶 
意 的 团伙 就 可 以 假扮 成 正常 的 网 站 ， 而 浏览 器 不 会 弹出 任何 警告 。 
口 缺少 用 途 限制 
所 有 证 书 必须 在 扩展 密 钥 用 法 (extendedkeyusage，EKU ) 字段 里 面 带 上 用 途 限 制 。 虽 然 
在 与 Entrust 的 合同 里 面 限制 了 DigiCert Sdn. Bhd. 只 人 允许 签发 服务 器 站 点 的 证 书 , 但 是 因为 
这 些 伪造 证 书 上 面 缺 少 了 用 途 限 制 ， 那 么 就 可 以 用 于 其 他 目的 ， 例 如 代码 签名 。 
口 缺少 吊销 信息 
这 22 张 证 书 都 没有 包含 吊销 信息 。 意 味 着 即便 发 现 了 无 效 的 证 书 也 没有 任何 方式 可 以 可 
靠 地 吊销 它们 。 
事实 证 明 , 这 个 问题 是 在 一 个 公开 的 密 钥 被 人 用 暴力 破解 并 用 于 签发 恶意 软件 才 被 发 现 的 。 
发 现 这 个 问题 之 后 ，Entrust 吊 销 了 这 个 中 间 证 书 * 并 且 通 知 了 所 有 的 浏览 器 厂商 。 在 一 周 之 内 ， 
Entrust 和 CyberTrust 都 吊销 了 各 自 的 中 间 证 书 ，Mozilla 在 他 们 的 博客 上 发 文通 知 公众 ， 浏 览 器 厂 
商 发 布 更 新 将 这 些 中 间 证 书 和 所 有 已 知 的 弱 服务 器 证 书 加 入 到 黑 名 单 里 面 。 在 这 之 后 ，DigiCert, 
Inc. 不 得 不 向 他 们 的 用 户 解 释 他 们 与 DigiCert Sdn. Bhd. 是 两 家 不 同 的 公司 。" 


4.10 ”火焰 病毒 
2012 年 5 月 ,安全 研究 人 员 开 始 分 析 一 种 新 型 的 恶意 软件 ， 它 主要 在 中 东 肆 虐 。 这 个 恶意 软件 
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人 @D 不 是 暴力 破解 所 有 可 能 的 数字 。 更 高 效 的 方式 是 使 用 正 数 因素 分 解 方法 , 例如 , General number field sieve( GNFS )。 

© Bug #698753: Entrust SubCA: 512-bit key issuance and other CPS violations; malware in the wild, https://bugzilla. 
mozilla.org/show_bug.cgi?id=698753 ( Bugzilla@Mozilla，2011 年 11 月 1 日 )。 

@) Entrust Bulletin on Certificates Issued with Weak 512-bit RSA Keys by Digicert Malaysia, https://web.archive.org/ 
web/20150629012844/http://www.entrust.net/advisories/malaysia.htm ( Entrust， 检 索 于 2014 年 7 月 3 日 )。 

由 Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority, https://blog.mozilla.org/security/2011/11/03/ 
Tevoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/ (Mozilla Security Blog，2011 年 11 月 3 日 )。 

© DigiCert, Inc. Of No Relation to Recent “Digi” Insecure Certificates, https://www.digicert.com/news/2011-11-1- breaches- 
and-similar-names.htm ( DigiCert, Inc.，2011 年 11 月 1 日 )。 
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叫 作 火焰 病毒 (Flame， 也 被 称 为 Flamer 或 者 Skywiper )， 是 那 时 候 最 先进 的 病毒 : 超过 20 MB 的 大 
小 和 超过 20 个 攻击 模块 (一 般 的 恶意 软件 包括 网 络 嗅 探 、 打 开 麦 克 风 和 文件 获取 等 ), 而 且 使 用 轻 
量 级 关系 型 数据 库 ( SQLite ) 和 脚本 语言 (Lua ) 等 组 件 。 它 以 这 种 形式 隐藏 了 相当 长 一 段 时 间 ( 意 
味 着 非常 低 的 感染 率 或 者 无 法 被 察觉 到 ， 很 明显 这 不 是 一 般 水 平 的 人 能 开发 出 来 的 )。 

总 的 来 说 ， 火 焰 病 毒 在 大 约 1000 个 系统 中 被 发 现 , 看 起 来 是 一 种 目标 性 非常 明确 的 攻击 (如 
图 4-3 所 示 )。 伊 朗 CERT 于 2012 年 5 月 份 发 表 了 一 篇 关于 火焰 病毒 的 新 闻 稿 。" 不 久之 后 ， 火 焰 病 
毒 的 创造 者 发 出 了 自杀 命令 , 让 所 有 的 火焰 病毒 将 自身 删除 。 不 过 之 后 还 是 发 现 了 很 多 恶意 软件 
存留 ， 并 且 捕 获 和 分 析 了 几 个 命令 和 控制 服务 器 的 实例 。? 
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伊朗 以 色 列 图 苏丹 黎巴嫩 @ 
189 98 32 18 10 


图 4-3 ”火焰 病毒 活动 图 (来源 : 卡巴 斯 基 实 验 室 ) 























4.10.1 火焰 病毒 对 抗 Windows 更 新 
之 后 发 生 的 事情 震惊 了 所 有 人 。 据 报道 ， 火 焰 病 毒 一 个 功能 是 攻击 Windows 的 更 新 机 制 ， 可 























GD Identification of a New Targeted Cyber-Attack, https://web.archive.org/web/20140331222159/http://www.certcc.ir/index. 
php?name=news& file=article&sid=1894 ( MAHER，2012 年 5 月 28 日 )。 
© Flame/Skywiper/ Flamer reports, http://www.crysys.hu/targeted-attacks.html ( CrySyS Lab，2012 年 5 月 31 











Sa 
9 





4.10 火焰 病毒 87 








以 传播 到 本 地 网 络 里 面 安装 的 任意 Windows 系 统 。 更 让 人 惊讶 的 部 分 是 ， 火 焰 病 毒 使 用 密码 学 作 
为 攻击 手段 来 完成 这 次 攻击 。" 更 重要 的 是 ， 这 种 特定 的 攻击 手段 在 之 前 是 不 为 人 知 的 。 

一 旦 处 于 同一 个 本 地 网 络 ,破坏 Windows 的 更 新 机 制 就 非常 容易 了 。Internet Explorer 文 持 Web 
代理 自动 发 现 机 制 (web proxy autodiscovery，WPAD )， 是 一 种 可 以 让 程序 在 本 地 网 络 自动 找到 
HTTP 代 理 服务 器 的 协议 。 ”有 本 地 网 络 访问 权限 的 攻击 者 能 够 以 代理 的 身份 进行 广播 , 从 而 获得 
受害 者 的 HTTP(S) 的 流量 。 火 焰 病 毒 正 是 这 样 做 的 ， 而 且 包含 一 个 简单 的 Web 服 务 器 去 假装 成 
Windows 更 新 服务 器 ,来 广播 带 有 恶意 代码 的 可 用 “更 新 ”。” 

Windows 更 新 系统 没有 使 用 TLS ( 在 我 的 桌面 系统 上 进行 了 简单 测试 ， 结 果 显 示 所 有 的 更 新 
流量 都 是 明文 的 )， 但 是 Microsoft 确 实 会 在 更 新 的 时 候 用 到 代码 签名 ， 也 就 是 说 应 该 无 法 创造 出 
来 自 于 Microsoft 的 二 进 制 文件 。 这 个 事件 里 面 最 奇怪 的 就 是 火焰 病毒 竟然 能 够 以 Microsoft 的 身份 
给 所 有 二 进 制 文件 进行 签名 。 


4.10.2 ”火焰 病毒 对 抗 Windows 终端 服务 


当 Microsoft 开 始 讨论 遭 到 火焰 病毒 攻击 的 弱点 的 时 候 , 一 个 更 深 藏 的 问题 暴露 了 出 来 。 为 了 
运营 终端 服务 许可 (terminal services licensing ),， 每 台 终端 服务 装置 在 激活 的 时 候 会 收 到 特殊 的 二 
级 CA 证 书 。 然 后 使 用 这 个 二 级 CA 创建 最 终 用 户 许可 。Microsoft 在 设计 系统 的 时 候 出 现 了 以 下 几 
个 严重 的 错误 。 

(1) 主 终端 服务 CA 证 书 〈 用 来 给 每 个 单独 的 客户 签发 二 级 CA ) 与 Windows 更 新 CA 一 样 ， 都 
是 由 同一 个 可 信 的 根 签发 出 来 的 。 

(2) 父 终端 服务 CA 可 以 用 于 许可 ， 以 及 出 于 一 些 无 法 解释 的 原因 ， 用 于 代码 签名 。 

(3) 二 级 CA 证 书 没有 用 途 限制 ， 意 味 着 对 它们 的 约束 限制 与 它们 的 父 证 书 是 一 样 的 。 

这 些 意味 着 每 一 个 终端 服务 器 用 户 都 拥有 一 个 不 受 限 制 的 二 级 CA， 这 个 CA 可 以 用 来 给 
Windows 更 新 的 二 进 制 文件 进行 签名 ， 不 需要 任何 的 黑客 行为 。 

幸运 的 是 ， 这 些 证 书 只 能 用 于 对 付 安装 Windows XP 的 机 器 。 二 级 CA 证 书包 含 了 一 个 独 有 的 
X.509 扩 展 ， 名 为 Hydra， 被 标记 为 关键 扩展 。” 

Windows XP 的 代码 在 进行 证 书 校 验 的 时 候 忽略 了 这 个 关键 扩展 ， 但 是 从 Windows Vista ( 于 
2007 年 1 月 30 日 在 全 球 发 布 ) 以 及 之 后 的 Windows 版 本 开始 ， 都 能 够 理解 这 个 关键 性 的 扩展 并 且 
很 好 地 处 理 它 。 也 就 是 说 火焰 病毒 的 作者 必须 找到 一 种 没有 Hydra 扩 展 的 证 书 。 



























































































































































QD Analyzing the MDS collision in Flame, http:/blog.trailofbits.com/2012/06/11/analyzing-the-md5-collision-in-flame/( Alex 
Sotirov，2012 年 6 月 11 日 )。 

©® Web Proxy Autodiscovery Protocol ,https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol ( 维基 百科 ， 检 
索 于 2014 年 7 月 3 日 )。 

@) Snack Attack: Analyzing Flame’s Replication Pattern, https://threatpost.com/snack-attack-analyzing-flames-replication- 
pattern-060712/76660/( Alexander Gostev，2012 年 6 月 7 日 )。 

@ 在 PKI 里 面 ， 如 果 某 个 扩展 被 标记 为 关键 扩展 ， 客 户 端 只 有 能 够 识别 这 个 扩展 才能 完成 证 书 链 的 验证 ， 否 则 验证 
就 会 失败 。 这 个 特性 后 面 的 想法 是 关键 扩展 也 许 包含 一 些 必要 的 信息 ， 识 别 这 个 特性 是 强 校 验 的 前 提 。 
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4.10.3 ”火焰 病毒 对 抗 MD5 


Microsoft 犯 下 的 另外 一 个 严重 错误 是 在 设计 终端 服务 器 许可 协议 的 时 候 给 证 书 用 的 是 MD5 
签名 。 其 他 的 错误 〈4.10.2 节 中 讨论 过 的 ) 相对 来 说 没 这 么 容易 ， 并 且 需 要 对 PKI 的 了 解 非常 深入 
才能 发 现 。 但 是 在 Microsoft 设 计 系 统 的 时 候 ，MD5 已 经 被 广泛 认为 是 不 安全 的 。 到 了 2008 年 ， 
MD5 的 不 安全 性 已 经 有 了 非常 有 效 的 证 明 一 一 在 对 RapidSSL 的 攻击 中 生成 了 一 张 伪造 的 证 书 。 
从 长 远 角度 来 看 ,Microsoft 屠 时候 根 本 就 不 应 该 在 他 们 的 证 书 程序 里 面 允 许 MD5 证 书 , 但 却 将 它 
们 用 在 了 终端 服务 许可 上 。 

如 果 你 阅读 了 前 面 讲 的 RapidSSL 攻 击 以 及 伪造 CA 证 书 的 生成 过 程 ， 也 许可 以 猜测 到 后 面 发 
生 的 事情 : 火焰 病毒 利用 针对 MD5 的 前 级 选择 碰撞 攻击 来 生成 一 张 伪造 的 CA 证 书 。 这 次 攻击 原 
理 上 与 之 前 介绍 的 RapidSSL 攻 击 是 一 样 的 。 下 面 是 我 们 所 知道 的 一 些 事情 。 

(1) 因为 使 用 了 不 安全 的 MD5 签 名 ， 所 以 可 以 对 系统 进行 密码 学 相关 的 攻击 。 

(2) 证 书签 发 过 程 是 自动 的 ， 而 且 攻击 者 可 以 控制 时 间 。 除 了 证 书 有 效 期 和 序列 号 之 外 所 有 
字段 都 可 以 事先 知晓 。 

(3) 证 书 有 效 期 只 需要 秒 级 精度 ， 可 以 被 预测 。 

(4) 序列 号 不 像 RapidSSIL 那 样 逐步 加 一 ， 但 也 可 以 被 预测 ( 启动 之 后 的 毫秒 数 加 上 两 个 固定 
的 字 节 和 一 个 序列 证 书号 )， 不 过 需要 毫秒 级 精度 。 

对 毫秒 级 别 的 精度 要 求 可 能 让 整个 事情 变 得 困难 很 多 , 因为 需要 一 个 非常 好 的 网 络 连接 来 降 
低 拌 动 。 如 果 可 以 访问 高 性 能 计算 集群 将 会 加 速 磁 撞 搜 索 并 提高 准确 性 。 我 们 无 法 得 知 需要 尝试 
多 少 次 ( 如 果 Microsoft 很 好 地 记录 了 许可 行为 ， 那 么 也 许 他 们 能 够 知道 )， 不 过 攻击 者 最 终 显然 
是 成 功 了 。 

Marc Stevens ， 那 位 前 面 发 表 前 级 选择 碰撞 攻击 技术 的 主要 人 物 ， 分析 了 这 张 伪造 证 书 作 出 
如 下 判断 : ” 

火焰 病毒 使 用 了 前 级 选择 碰撞 攻击 …… 火 焰 病 毒 使 用 生日 搜索 算法 ， 带 上 4 个 近似 
碰撞 块 获得 一 个 碰撞 。 
这 些 碰撞 位 对 正常 证 书 来 说 是 藏 在 原始 证 书 的 RSA 模 数 中 的 ,而 对 于 伪造 的 证 书 则 

是 在 issuerUniqueID 字 段 里 面 。 用 我 自己 的 工具 可 以 获取 原始 证 书 的 近似 碰撞 块 ( 该 工 

有 具 无 法 提供 ) 并 且 在 第 一 个 近似 碰撞 块 之 前 获得 了 链 值 。 有 了 这 些 信 息 我 就 可 以 重 构 4 

个 不 同 的 路 径 。 这些 不 同 的 路 径 展示 出 一 条 不 同 的 前 级 选择 碰 挤 攻击 ,可 以 用 于 构建 一 

条 还 未 记录 在 案 的 全 新 的 不 同 路 径 算法 。 

无 论 是 谁 设计 了 火焰 病毒 并 对 Microsoft 实 施 了 攻击 ,他 们 一 定 有 自己 非常 厉害 的 硬件 、 一 个 
非常 厉害 的 开发 团队 以 及 世界 级 的 密码 学 家 。 
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GD Microsoft Sub-CA used in malware signing, http://lists.randombit.net/pipermail/cryptography/2012-June/002992.html 
( Marc Stevens，2012 年 6 月 12 
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反 密 码 分 析 

针对 用 于 签名 的 散 列 函数 的 碰撞 攻击 是 一 个 真正 的 威胁 。 虽 然 MD5 的 问题 离 我 们 已 经 很 
远 了 , 但 是 现在 被 广泛 使 用 的 SHA1 也 被 认为 是 不 安全 的 。 在 理想 的 世界 中 我 们 现在 本 应 该 已 
经 停止 使 用 它 了 。 但 是 在 现实 中 ， 它 还 会 存在 很 多 年 ， 因 为 我 们 还 需要 面 对 复 杂 的 生态 体系 
和 大 量 的 不 作为 。 

为 了 应 对 这 些 问 题 ，Marc Stevens 发 明了 反 密 码 分 析 ，" 它 用 于 寻找 被 成 功 碰撞 攻击 的 证 
书 的 痕迹 ， 正 如 研究 论文 的 摘要 所 描述 的 那样 

我 们 采用 一 种 反 密 码 分 析 作 为 一 种 新 的 范例 ， 来 加 强 弱 加 密 基 元 以 便 对 抗 密码 

分 析 攻 击 。 将 原 有 的 弱 基 元 进行 重新 设计 来 对 抗 密码 分 析 ， 这 种 技术 不 可 避免 地 会 

导致 向 后 兼容 的 问题 。 相 反 ， 反 密码 分 析 通 过 利用 密码 分 析 攻 击 过 程 中 不 可 避免 的 

痕迹 ， 可 以 检测 和 阻止 密码 分 析 攻 击 ， 同 时 又 能 保证 向 后 的 兼容 性 。 








4.11 TURKTRUST 


2012 年 12 月 ， 多 亏 了 Chrome 浏 览 需 支持 的 公 钥 钉 扎 技 术 ，Google 发 现 了 另外 一 起 严重 的 
PKI 问 题 。 钉 扎 人 允许 用 户 客户 端 对 一 些 站 点 进行 检测 ， 但 只 有 特定 授权 的 CA 可 以 签发 该 站 点 的 
证 书 。Chrome 里 面 有 一 个 小 的 、 硬 编码 的 站 点 列表 , 不 过 这 些 站 点 都 是 世界 上 访问 量 非常 大 的 
网 站 。?” 

2012 年 12 月 ， 一 个 Chrome 用 户 遇 到 了 一 张 与 内 置 的 硬 编码 列表 不 相符 的 证 书 ， 然 后 浏览 
将 整个 有 问题 的 证 书 链 传 输 回 Google。 看 到 证 书 链 之 后 ，Google 发 现 这 张 伪造 证 书 一 直 链 到 土 耳 
其 的 证 书 机 构 TURKTRUST。? 

这 些 无 效 的 二 级 证 书 立刻 被 所 有 方面 吊销 了 。TURKTRUST 在 几 天 之 后 就 发 布 了 详细 的 报 
告 ， 并且 持 续 更 新 报告 内 容 。“ 我 们 获悉 TURKTRUST 在 2011 年 8 月 份 的 两 个 系统 设施 的 切换 过 程 
中 犯 了 一 个 错误 ， 导 致 那天 签发 的 两 张 证 书 被 标记 为 CA 证 书 。 这 个 问题 连续 15 个 月 都 没有 被 检 
测 出 来 ， 在 这 段 时 间 内 这 两 张 证 书 都 被 当 作 普通 的 服务 器 证 书 在 使 用 。 

在 2012 年 12 月 的 某 个 时 间 点 ，EGO 安 装 了 一 台 拥 有 MIMT 功 能 的 防火 墙 , EGO 是 其 中 一 个 拥 
有 误 签发 的 二 级 CA 证 书 的 组 织 。 承 包 商 将 这 个 证 书 导入 到 防火 墙 ， 并 开始 按 需 生成 伪造 的 网 站 
证 书 来 进行 中 间 人 监控 。 在 这 个 过 程 中 生成 了 一 张 Google 的 证 书 并 且 投 入 使 用 , 随后 被 Google 检 
测 到 。 
















































































QD Counter-cryptanalysis, https://marc-stevens.nl/research/papers/C13-S.pdf ( Marc Stevens, CRYPTO 2013 )。 

@) 我 会 在 第 10 章 中 对 公 钥 钉 扎 进行 讨论 。 

@) Enhancing digital certificate security , http://googleonlinesecurity.blogspot.com/2013/01/enhancing-digital-certificate- 
securityhtml ( Google Online Security Blog，2013 年 1 月 3 日 )。 

由 Public Announcements ，https:/web.archive.org/web/20130926134541mhttp:/turktrustcom.tren/kamuoyu-aciklamasi-en.2.html 
(CTURKTRUST，2013 年 1 月 7 日 )。 
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无 法 确定 承包 商 是 否 知 道 这 张 有 问题 的 证 书 其 实 是 CA 证 书 。 如 果 你 在 排查 一 台 MIMT 设 备 的 
问题 ， 而 且 对 PKI 不 熟悉 ， 就 可 能 会 尝试 导入 任何 一 张 你 手边 的 有 效 证 书 。 

浏览 器 根 证 书库 运营 人 员 接 受 了 TRUKTRUST 将 此 次 事件 定位 为 管理 错误 。 暂 时 不 存在 任 
何 证 据 表明 存在 对 该 CA 的 攻击 ， 在 EGO 自 己 的 网 络 之 外 也 没有 发 现任 何 伪造 的 证 书 。Mozilla 
要 求 TURKTRUST 进 行 一 次 非 例 行 审 计 ， 同 时 Google 和 Opera 决 定 停止 识别 TURKTRUST 的 EV 
证 书 。 











4.12 ANSSI 


2013 年 12 月 ，Google 宣 布 吊 销 ANSSI ( 国际 计算 机 安全 局 ,法国 的 网 络 信 息 安全 局 ) 签发 的 
二 级 证 书 。 几 天 之 后 ，ANSSI 证 书 机 构 被 限制 只 能 签发 法 国 地 区 域名 的 证 书 〈 .人 是 法 国 地 区 使 用 
的 主要 顶级 域名 )。?” 

这 次 吊销 的 原因 是 因为 发 现 该 二 级 CA 证 书 被 用 于 该 机 构 网 络 里 面 运行 的 透明 窃听 ( 中间人 ) 
设备 。 结果 签发 了 多 个 不 同 域名 的 证 书 , 其 中 一 些 域 名 属于 Google。Chrome 的 钉 扎 技术 又 一 次 检 
测 出 滥用 PKI 的 情况 。 

Mozilla” 和 Microsoft "也 禁用 了 被 滥用 的 CA 证 书 。 当 局 发 表 了 简短 的 声明 ， 将 问题 归咎 于 人 
为 错误 。 没 有 任何 证 据 表 明 伪 造 的 证 书 在 French Treasury 的 网 络 之 外 存在 。” 

通常 情况 下 ， 接 下 来 会 对 mozilla.dev.security.policy 进 行 讨论 。® 

随 着 该 事件 的 细节 被 进一步 披露 之 后 ， 很 多 其 他 问题 ( 比如 ANSSI 是 如 何 使 用 CA 证 书 的 ) 
也 暴露 出 来 。 例 如 ,他 们 的 很 多 证 书 都 没有 包含 任何 吊销 信息 。 他 们 的 证 书 吊销 列表 存在 不 正常 
的 活动 ， 数 以 千 计 的 证 书 突然 出 现在 之 前 完全 是 空 的 列表 中 。 不 确定 这 个 事情 是 如 何 发 现 的 。 
ANSSI 坦 诚 他 们 至 少 要 到 2015 年 12 月 份 才 能 遵从 Baseline Requirements 的 规范 ,这 比 Mozilla 给 的 期 
限 要 晚 两 年 。” 






































































































































QD Further improving digital certificate security, http://googleonlinesecurity.blogspot.co.uk/2013/12/further-improving- 
digital-certificate.html ( Google Online Security Blog，2013 年 12 月 7 日 )。 

© Revoking Trustin one ANSSI Certificate, https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate/ 
( Mozilla Security Blog，2013 年 12 月 9 日 )。 

@ 不 正确 颁发 的 数字 证 书 可 导致 欺骗 ，https://technet.microsoft.com/library/security/2916652 ( Microsoft Security 
Advisory 2916652，2013 年 12 月 9 日 )。 

(@ Revocation of an IGC/A branch, https://web.archive.org/web/20141202143116/http://www.ssi.gouv.fr/en/the-anssi/events/ 
revocation-of-an-igc-a-branch-808.html ( 2013 年 12 月 7 日 )。 

© Revoking Trustin one ANSSI Certificate , https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/uCZi6Ua- 
UPA ( mozilla. dev.securitypolicy，2013 年 12 月 9 日 )。 

(oO Announcing Version 2.1 of Mozilla CA Certificate Policy, https://blog.mozilla.org/security/2013/02/15/announcing- 
version-2-1-of-mozilla-ca-certificate-policy/ (Mozilla Security Blog，2013 年 2 月 15 日 )。 
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4.13 印度 国家 信息 中 心 


2014 年 7 月 ，Google 检 测 到 几 张 误 签 发 他 们 域名 的 证 书 ， 然 后 一 路 跟踪 到 中 间 证 书 ， 发 现 属 
于 印度 国家 信息 中 心 (National Information Centre，NIC )， 而 这 张 中 间 证 书 是 由 印度 控制 器 证 书 
颁发 机 构 (Controller of Certifying Authorities，CCA ) 签发 的 。 之 后 发 现 它 的 二 级 CA (NIC 证 书 
颁发 机 构 或 者 说 NICCA ) 被 入 侵 了 ， 伪 造 签 发 了 很 多 Google 和 Yahoo 的 域名 证 书 。 这 张 有 问题 的 
中 间 证 书 被 立刻 吊销 ，NICCA 也 完全 停止 了 证 书签 发 。 在 Chrome 里 面 ， 根 证 书 CCA 机 构 被 限制 
只 能 签发 几 个 印度 (.n ) 的 子 域名 证 书 。” 


4.14 ”广泛 存在 的 SSL 窃听 


虽然 PKI 有 很 多 弱点 ， 但 是 对 整个 生态 体系 最 大 的 威胁 在 于 广泛 存在 的 SSL 窃 听 ， 这 些 穷 听 
是 由 本 地 安装 的 软件 、 雇 主 以 及 网 络 提供 商 实施 的 。 虽 然 我 们 可 能 很 少 听 说 , 但 久而久之 , 这 类 
窃听 变 得 越 来 越 普遍 。 那 些 被 影响 的 人 可 能 无 法 察觉 出 什么 事情 ， 也 就 不 会 上 报 这 类 事件 。 幸 运 
的 是 ， 有 人 会 偶尔 上 报 这 类 事件 ， 我 们 对 这 类 问题 的 警觉 性 又 会 提高 一 些 。 


















































4.14.1 Gogo 


2015 年 1 月 ，Adrienne Porter Felt ( Google Chrome 安 全 团队 的 一 名 成 员 ) 上 报 空中 互联 网 连接 
公司 Gogo 会 窃听 所 有 加 密 的 信息 ， 并 且 提 供 了 一 些 带 有 合法 网 站 域名 的 无 效 证 书 。” 

Gogo 没 有 办 法 生成 有 效 的 证 书 ， 也 就 是 说 用 户 必 须 点 击 忽 略 证 书 警 告 才能 访问 他 们 想 访 问 
的 站 点 ， 因 此 这 种 证 书 是 无 效 的 ; 但 是 这 无 法 改变 一 个 事实 就 是 ，Gogo 可 能 可 以 毫 无 限制 地 访 
问 用 户 的 敏感 信息 。 

Adrienne 的 Twitter 发 言 触动 了 整个 社区 的 神经 ， 收 到 了 大 量 的 回复 ， 商 业 公 司 对 它 的 用 户 实 
施 的 网 络 攻击 在 媒体 上 成 为 热点 事件 。Gogo 之 后 发 表 声明 ， 将 这 种 行为 归咎 于 需要 控制 飞机 上 
网 络 带宽 的 使 用 情况 。 ”虽然 该 公司 也 许 真 的 认为 窃听 行为 是 有 必要 的 ， 但 是 这 种 声明 是 站 不 住 
脚 的 。 一 段 时 间 之 后 ，Gogo 完 全 停止 了 窍 听 行 为 。” 







































































QD Maintaining digital certificate security, http://googleonlinesecurity.blogspot.co.uk/2014/07/maintaining-digital-certificate- 
security.html ( Google Online Security Blog，2014 年 7 月 8 日 )。 

© hey @Gogo, why are you issuing *.google.com certificates on your planes? ，https:/Wtwitter com/， apf /status/5510839 
56326920192 ( Adrienne Porter Felt，2015 年 1 月 2 日 )。 

@) Our Technology Statement from Gogo regarding our streaming video policy, https://web.archive.org/web/ 20150404014855/ 

















http://concourse.gogoair.com/technology/statement-gogo-regarding-streaming-video-policy ( Gogo，2015 年 1 月 $ 日 )。 
@ Gogo no longer issuing fake Google SSL certificates ，http:/www:runwaygirlnetwork.com/2015/01/13/gogo-no-longer- 
issuing-fake-google-ssl-certificates/ ( Runway Girl Network，2015 年 1 月 13 日 )。 
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4.14.2 ”Superfish 和 它 的 朋友 们 


就 在 一 个 月 之 后 ， 也 就 是 2015 年 的 2 月 ，Adrienne 又 发 表 了 一 项 公开 声明 ， 那 就 是 联想 
(Lenovo ) 在 他 们 的 一 些 系统 上 预 装 了 广告 搬入 软件 Superfish ( 有 些 人 认为 是 恶意 软件 )。 “引起 
我 们 兴趣 的 是 ， 这 个 软件 会 对 所 有 用 户 流量 进行 动 持 , 包括 那些 安全 加 密 的 网 站 。 为 了 避免 出 现 
证 书 警 告 ，Superfish 在 用 户 毫 不 知情 的 情况 下 将 一 个 有 问题 的 “可 信 ” 根 证 书 加 入 到 操作 系统 的 
证 书库 里 面 。 有 了 这 个 根 证 书 之 后 ，Superfish 就 将 所 有 的 浏览 器 流量 引 向 本 地 的 代理 进程 。 然 后 
这 个 进程 取 到 网 站 返回 的 内 容 之 后 ， 就 可 以 做 任何 它 想 要 做 的 修改 了 。 

先 不 说 这 是 否 存在 道德 问题 ( 这 个 广告 插入 软件 可 以 看 到 所 有 的 流量 , 不 管 多 么 隐私 或 者 敏 
感 )， 他 们 使 用 的 方法 也 是 错误 的 。 正 确 的 劫持 方式 是 对 每 个 用 户 都 需要 生成 唯一 的 根 证 书 。 
Superfish 在 他 们 所 有 系统 里 面 使 用 了 同一 个 根 证 书 , 这 意味 着 任何 一 个 受到 此 类 影响 的 用 户 都 可 
以 导出 对 应 的 根 证 书 的 私 钥 , 然后 用 他 攻击 所 有 其 他 被 影响 的 用 户 。 不 出 所 料 ，, 这 个 有 问题 的 根 
证 书 在 这 次 公开 声明 之 后 很 快 就 被 提取 出 来 了 。”( 也 许 很 久之 前 就 已 被 导出 ， 不 过 我 们 没有 这 
类 信息 。) 

还 有 一 些 别 的 问题 : 每 个 用 户 笔 记 本 里 面 的 代理 软件 相 比 浏览 器 而 言 , 在 TLS 功 能 上 比较 弱 ; 
它 仅 仅 支 持 TLS 1.1， 而 不 是 最 新 的 TLS 1.2。 同 时 还 是 有 许多 不 安全 的 密码 套件 ， 极 大 地 降低 了 
用 户 的 安全 性 。 更 糟糕 的 是 , 他 无 法 正确 地 验证 无 效 的 证 书 。 相 当 于 可 以 合法 地 使 用 自 签 名 证 书 
进行 中 间 人 攻击 。 有 句 话 还 得 再 次 强调 一 下 : 无 论 访问 任何 网 站 ， 带 有 Superfish 的 用 户 都 是 无 法 
看 到 证 书 警 告 的 。” 























































































































注意 

+ 

本 地 安装 的 根 证 书 可 以 绕 过 像 钉 扎 之 类 的 严格 安全 手段 ， 这 是 有 意 为 之 。 这 种 方式 可 
以 允许 企业 进行 SSL 监 听 (也 许 是 合法 的 )。 这 也 是 为 什么 Superfish 甚 至 可 以 监听 到 
Google 的 流量 ， 虽 然 Google 已 经 采取 了 非常 多 的 安全 措施 。 


Facebook 的 分 析 指 出 Superfish 影 响 全 球 非 常 多 的 用 户 。 在 哈萨克 斯 坦 ，Superfish 影 响 了 
Facebook 中 4.5% 的 连接 数 。” 
联想 最 开始 试图 为 他 们 的 行为 进行 辩护 ， 但 最 后 还 是 妥协 了 ， 最 终 与 Microsoft 合 作 将 
Superfish 和 所 有 不 该 有 的 根 证 书 从 受 影响 的 系统 中 移 除 。Microsoft 发 布 的 数据 显示 ， 他 们 仅仅 几 














GD #Superfish Round-Up, https://noncombatant.org/2015/02/21/superfish-round-up/( Chris Palmer，2015 年 2 月 22 日 )。 

© Extracting the SuperFish certificate , http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html ( Robert 
Graham，2015 年 2 月 19 日 )。 

@) Komodia/Superfish SSL Validation is broken ，https:Wblog.filippo.io/komodia-superfish-ssl-validation-is-broken/ ( Filippo 
Valsorda，2015 年 2 月 20 日 )。 

@ Windows SSL Interception Gone Wild, https:/www.facebook.com/notes/protect-the-graph/windows-ssl-interception- 
gone-wild/1570074729899339 ( Facebook，2015 年 2 月 20 日 )。 
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天 就 从 大 约 250 000 台 系统 中 移 除了 Superfish。 


注意 

与 之 前 一 样 ， 出 现 这 类 事情 之 后 就 会 有 很 多 线 上 测试 出 现 。Filippo Valsorda 发 布 了 
对 Superfish 、Komodia 和 PrivDog 的 测试 。 ”Hanno B56ck 则 对 其 他 相似 的 产品 进行 了 
测试 。® 








更 深入 的 调查 显示 Superfish 是 使 用 Komodia 提 供 的 SSL 监 听 SDK 构 建 的 。 从 Komodia 的 站 点 
来 看 : 


我 们 的 SSL 动 持 者 SDK 是 一 个 全 新 的 技术 , 它 允 许 你 访问 那些 使 用 SSL 加 密 的 数据 ， 
并 实时 进行 SSL 解 密 。 动 持 者 使 用 Komodia 的 转向 器 平台 来 让 你 可 以 非常 容易 地 访问 、 
修改 、 跳 转 以 及 记录 数据 ， 而 不 出 现任 何 浏 览 器 证 书 错误 提示 。 


Superfish 不 是 唯一 的 SSL 监 听 产 品 ， 也 不 是 唯一 具有 安全 缺陷 的 SSL 监 听 产 品 。 虽 然 Comodo 
的 产品 PrivDog ( 版 本 3.0.96.0 ) 采用 每 个 用 户 独立 监听 根 的 方式 ， 但 依旧 无 法 正确 地 进行 证 书 校 
验 ， 使 中 间 人 攻击 变 得 容易 起 来 。” 

Komodia、Superfish 以 及 PrivDog 是 最 先进 入 我 们 视野 的 , 但 还 有 很 多 相似 的 产品 。 随 着 安全 
人 员 开 始 重视 起 来 , 还 有 其 他 一 些 类 似 的 产品 浮 出 水 面 , 让 众人 得 以 知晓 。 其 中 还 有 一 些 非常 车 
名 的 安全 产品 。” 








4.15 _ CNNIC 


2015 年 3 月 ， 一 家 叫 作 中 东 通 信 系 统 ( Mideast Communication Systems，MCS ) 的 公司 收 到 
CNNIC ( China Internet Network Information Center， 中 国 互联 网 信息 中 心 ， 是 一 家 负责 中 国 互 联 
网 的 机 构 ) 的 一 张 测 试 中 间 证 书 。MCS 原 本 是 希望 在 埃及 市 场 提 供 证 书 以 及 相关 服务 。 不 幸 的 是 ， 
在 测试 过 程 中 ， 中 间 证 书 被 导 和 人 到 一 台 可 以 进行 透明 SSL 监 听 的 设备 里 面 ， 导 臻 最终 至 少 产 生 了 
一 张 误 签发 的 证 书 。 使 用 Chrome 浏 览 器 的 一 个 工程 师 将 此 证 书 传 回 Google。” 









































GD MSRT March: Superfish cleanup, http://blogs.technet.com/b/mmpc/archive/2015/03/10/msrt-march-superfish-cleanup.aspx 
( Microsoft Malware Protection Center，2015 年 3 月 10 日 )。 

©® Superfish, Komodia, PrivDog vulnerability test，https:/filippo.io/Badfish/ ( Filippo Valsorda, 检索 于 2015 年 3 月 22 日 )。 

@® Check for bad certs from Komodia / Superfish, https://superfish.tlsfun.de ( Hanno B6ck, 检索 于 2015 年 3 月 22 日 )。 

@ Comodo ships Adware Privdog worse than Superfish, https://blog.hboeck.de/archives/865-Software-Privdog-worse- 
than-Superfish.html ( Hanno Bock，2015 年 2 月 23 日 )。 

© The Risks of SSL Inspection, https://insights.sei.cmu.edu/cert/2015/03/the-risks-of-ssl-inspection.html ( Will Dormann, 
2015 年 3 月 13 日 )。 

© Maintaining digital certificate security, http://googleonlinesecurity.blogspot.co.uk/2015/03/maintaining-digital-certificate- 
security.html ( Google Online Security Blog, 2015 年 3 月 23 日 )。 
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经 过 调查 ，Google 和 Mozilla 决 定 吊销 对 CNNIC 根 证 书 的 信任 。" 不 过 CNNIC 提 供 了 一 份 白 名 
单 证 书 , 在 吊销 之 前 由 其 签发 出 来 的 有 效 证 书 还 是 可 以 继续 使 用 的 。 虽然 是 MCS 的 行为 导致 了 证 
书 误 签发 ,但 是 CNNIC 仍 被 认为 有 过 失 ， 因 为 它 给 一 家 没有 能 力 维护 CA 的 组 织 签 发 了 一 张 毫 无 
限制 的 有 效 中 间 CA 证 书 。” 





















































QD Distrusting New CNNIC Certificates ,https:/Wblog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates 人 Mozilla 
Security Blog，2015 年 4 月 2 日 )。 

©® Consequences of mis-issuance under CNNIC, https://groups.google.com/forum/#!msg/morzilla.dev.security.policy/czwIDNbw 
HXM/Fj-LUvVhVQYEJ ( mozilla.dev.security.policy 讨 论 主题 ， 开 始 于 2015 年 3 月 23 日 )。 














HTTP 和 浏览 器 问题 














在 本 章 中 ,我 们 将 讨论 TLS 和 HTTP 的 关系 。TLS 设 计 用 于 保护 TCP 连 接 , 但 是 当今 的 浏览 5 
中 有 很 多 持续 变化 的 东西 存在 。 在 很 多 场景 下 , 许多 问题 是 由 于 浏览 器 厂商 致力 于 兼容 老 旧 网 站 
而 导致 的 他 们 担心 破坏 Web 的 兼容 性 。 




















5.1 sidejacking 


sidejacking 是 网 络 应 用 会 话 劫持 的 一 种 特殊 情况 ， 在 这 种 情况 下 ， 攻 击 者 会 从 一 条 未 加 密 的 
连接 上 获取 会 话 令 牌 "。 这 种 攻击 在 无 线 网 络 或 者 本 地 局 域 网 中 非常 容易 实施 。 如 果 一 个 网 站 没 
使 用 加 密 流量 , 攻击 者 只 需要 简单 地 观察 网 络 流量 并 从 中 提取 会 话 令 牌 即 可 。 如 果 网 站 只 是 部 分 
启用 了 加 密 ， 则 可 能 会 出 现 以 下 两 种 问题 。 

口 设计 导致 的 会 话 泄露 

某 些 网 站 使 用 加 密 来 保护 账户 密码 ， 但 是 当 身 份 验证 结束 后 就 切换 回 明文 。 这 个 方法 对 
安全 性 有 微小 的 增加 ， 但 是 这 只 是 将 信息 的 泄露 点 由 密码 转移 到 了 会 话 令 牌 上 。 从 某 种 
程度 上 看 ， 会 话 令 牌 确实 价值 更 小 一 些 ， 因 为 它们 只 是 在 有 限 的 时 间 内 有 效 〈 假设 会 话 
管理 功能 是 正确 实现 的 )， 但 是 它们 却 十 分 容易 被 窃取 并 且 很 容易 被 主动 攻击 者 滥用 。 

口 错误 导致 的 会 话 泄露 

即使 你 很 努力 地 将 整个 网 站 都 使 用 加 密 ， 也 很 容易 出 现 遗 漏 一 两 个 资源 还 是 明文 访问 的 错 
误 ( 如 图 5-1 所 示 )。 即 使 主页 面 加 密 保护 起 来 ， 同 一 域名 下 的 一 个 单独 的 明文 资源 也 可 能 
引起 会 话 汇 露 “>。 这 种 问题 叫 作 混 合 内 容 ( mixed content ) 问题 ， 我 会 在 本 章 的 后 面 讨论 。 
sidejacking 可 以 针对 任何 类 型 的 会 话 令 牌 进行 攻击 ， 因 为 攻击 者 可 以 完全 获取 受害 者 与 服务 
器 之 间 的 通信 。 因 此 , 这 种 攻击 不 仅 可 以 窃取 保存 在 Cookie 中 的 会 话 令 牌 ,也 可 以 获取 保存 在 URL 
中 的 令 牌 ( 路径 或 者 请 求 参 数 )。 一 旦 获取 令 牌 ， 攻 击 者 就 可 以 使 用 这 个 数据 以 受害 者 的 身份 直 
接 访问 目标 网 站 。 











































































































g@ 在 Web 应 用 中 , 当 用 户 连接 到 网 站 的 时 候 , 一 个 新 的 会 话 就 会 被 创建 出 来 。 每 个 会 话 都 会 被 分 配 一 个 秘密 令 牌 ( 
称 为 会 话 ID )， 主 要 是 用 来 标明 会 话 的 所 有 权 。 如 果 攻 击 者 找到 了 一 个 已 经 过 号 份 验证 的 会 话 令 牌 ， 就 可 以 在 区 

站 上 以 受害 者 的 身份 获取 全 部 权限 。 
@ 这 主要 是 因为 会 话 令 牌 通过 Cookie 传 送 ， 这 个 Cookie 会 存在 于 每 个 发 向 网 站 的 请 求 中 。 
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“Local Area Connection 2 (port 8080) [Wireshark 1.10.6 (v1.10.6 from master-1.10)] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
SO@A4Wd| 忆 XSa499F | 国 国 AaaQa 昌 | 本 国 风 关 | 加 
Fiker | [=| Erpression.. Clear Apply Save 

No. Info 















Time Destination Length 










.0013400C192.168.0.103 66 55285 > http-alt [ACK] Seq=1 Ack=1 Win=131760 Len=0 TSval=1292579871 TS 
.0014840C192.168. IGET A/ HTP/L: 1 
.0129850C192.168. 

.0142220C192.168.0. 










4[ mn » 


Frame 5: 338 bytes on wire (2704 bits), 338 bytes captured (2704 bits) on interface 0 a 
Ethernet II, src: Tp-LinkT_04:d3:20 (f8:1a:67:04:d3:20), Dst: Apple_93:23:a6 (60:03:08:93:23:a6) [可 
Internet Protocol Version 4, src: 192.168.0.5 (192.168.0.5), Dst: 192.168.0.103 (192.168.0.103) 
Transmission Control Protocol, Src Port: http-alt (8080), Dst Port: 55285 (55285), Seq: 1, Ack: 308, Len: 272 



















四 





Cache-control: no-cache, must-revalidate\r\n 
Content-Length: O\r\n 

Date: Fri, 21 Mar 2014 17:33:46 GMT\r\n 
NrNn 

[HTTP response 1/1] 

[Time since request: 0.011501000 seconds] a 








M。 
34 1f 48 54 54 50 2f 31 2e 31 20 33 30 32 20 4d 4.HTTP/1 .1 302 M 
6f 76 65 64 20 54 65 6d 70 6f 72 61 72 69 6c 79 oved Tem porarily 
0d 0a 53 65 72 76 65 72 3a 20 41 70 61 63 68 65 ..Server : Apache 
2d 43 6f 79 6f 74 65 2f 31 2e 31 0d 0a 53 65 74 -Coyote/ 1.1. .Set 
2d43 6f 6f 6b 69 65 3a 20 4a 53 45 53 53 49 4f -Cookie: JsESSIO 
4e 49 44 3d 32 33 36 32 32 46 44 37 36 32 45 33 NID=2362 2FD762E3 
42 43 41 45 34 35 31 36 45 31 36 34 35 32 37 44 BCAE4516 E164527D 
41 44 30 34 3b 20 50 61 74 68 3d 2f 3b 20 48 74 AD04; Pa th=/; Ht 
74 70 4f 6e 6c 79 0d 0a 43 61 63 68 65 2d 63 6f tponly.. Cache-co 
6e 74 72 6f 6c 3a 20 6e€ 6f 2d 63 61 63 68 65 2c ntrol: n o-cache, 
20 6d 75 73 74 2d 72 65 76 61 6c 69 64 61 74 65 must-re validate 
0d oa 4c 6f 63 61 74 69 6f 6e 3a 20 68 74 74 70 .Locati on: http 2 


File: "CA\Users\IVANRI~1\AppData\Local\Temp\wireshark_pcapng_AAAFE4C7-4DE2-47BD-9.. | Packet... | Profile: Defauit 


四 


























图 5-1 在 Wireshark 中 显示 明文 的 会 话 Cookie 


在 安全 社区 中 , sidejacking 在 2007 年 8 月 得 到 了 人 们 更 多 的 认识 。 当 时 , Robert Graham 和 David 
Maynor 在 美国 黑 帽 子 大 会 上 讨论 了 这 个 话题 ， 并 公开 了 用 于 自动 化 攻击 的 Ferret 和 Hermit 工 具 ”。 

几 年 之 后 ， 一 个 由 Eric Butler 开 发 的 名 为 Firesheep2 的 Firefox 插 件 引 发 了 更 大 的 稻 动 ， 因 为 该 
插件 使 得 sidejacking 攻 击 更 容易 实施 。Firesheep 变 得 非常 出 名 ， 几 个 高 价值 的 网 站 都 切换 到 了 全 
站 加 密 。 紧 随 Firesheep 之 后 ， 名 为 BlackSheep 的 检测 工具 和 名 为 FireShepard 的 反击 工具 相继 开 
发 出 来 。 此 外 ， 还 有 一 个 叫 作 Idiocys 的 工具 用 来 自动 对 受 攻击 的 账号 发 出 警告 。 

Firesheep 已 经 不 再 维护 。 目 前 类 似 的 工具 有 CookieCadger"， 这 是 一 个 由 Matthew Sullivan 开 
发 的 被 动 HTTP 审 计 工 具 。 





GD SideJacking with Hamster, http://blog.erratasec.com/2007/08/sidejacking-with-hamster 05.html ( Robert Graham, 2017 
年 8 月 5 日 )。 

© Firesheep announcement, http://codebutler.com/firesheep/ ( Eric Butler，2010 年 10 月 24 日 )。 

@) BlackSheep, https://www.zscaler.com/blacksheep.php ( Zscaler，2014 年 7 月 15 日 )。 

(@ FireShepard, https://notendur.hi.is/gas15/FireShepherd/ ( Gunnar Atli Sigurdsson， 检 索 于 2014 年 7 月 15 日 )。 

@@ Idiocy，http://jonty.co.uk/idiocy ( Jonty Wareing， 检 索 于 2014 年 7 月 15 日 )。 

(© CookieCadger，https://www.cookiecadger.comy ( Jonty Wareing， 检 索 于 2014 年 7 月 15 日 )。 
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5.2 Cookie 窃取 


正如 我 们 刚才 讨论 的 那样 ，sidejacking 对 于 全 站 加 密 的 网 站 是 无 效 的 。 在 这 种 情况 下 ， 会 话 
令 牌 会 一 直 被 隐藏 到 加 密 层 之 后 。 你 也 许 认 为 这 种 完全 部 署 的 TLS 意 味 着 sidejacking 真 的 毫 无 用 
处 ， 但 实际 上 并 非 如 此 。 程 序 员 常 犯 的 一 个 错误 是 忘记 对 Cookie 进 行 加 密 ， 当 这 种 问题 发 生 时 ， 
攻击 者 可 以 使 用 一 种 叫 作 Cookie 窃 取 ( cookie stealing ) 的 技术 来 获得 会 话 令 牌 ， 如 图 $-2 所 示 。 











浏览 器 攻击 者 服务 器 


https://victim.example.com 





用 户 和 一 个 网 站 建 

















立 安全 连接 并 获取 

到 Cookie 
用 户 访问 其 他 任意 

计生 3 http://plaintext.example.com 


攻击 者 截获 请 求 并 
发 出 重 定向 








HTTP/1.1 302 Found 
Location:http://victim.example.com:443 


浏览 器 自动 跟随 重 http://victim.example.com:443/ 
定向 并 暴露 Cookie 
HTTP/1.1 400 Bad Request 























图 5-2 ”使 用 中 间 人 攻击 窃取 不 安全 Cookie 


默认 情况 下 ， 无 论 是 80 端 口 的 不 安全 传输 还 是 443 端 口 的 安全 传输 ，Cookie 都 会 被 发 送 。 在 
对 网 站 部 署 TLS 时 ， 你 也 期 望 所 有 的 Cookie 都 会 同样 安全 ， 期 望 浏 览 铝 能 正确 处 理 。 如 果 你 不 采 
取 措 施 , 起初 看 来 可 能 没什么 问题 ， 因 为 用 户 都 被 完全 保护 着 。 但 是 这 只 有 在 浏览 器 不 向 80 端 口 
发 送 数据 的 时 候 才 可 以 ,如果 攻击 者 可 以 找到 一 种 方法 让 浏览 器 向 80 端 口 发 送 数据 ，Cookie 就 有 
可 能 被 窃取 。 

理论 上 ， 这 种 攻击 很 简单 : 攻击 者 是 一 个 可 以 观察 到 受害 者 网 络 流 量 的 主动 中 间 人 攻击 者 。 
攻击 者 无 法 对 目标 网 站 的 加 密 流量 进行 攻击 , 但 是 他 可 以 等 待 受害 者 发 出 一 个 发 往 任意 其 他 网 站 
的 非 加 密 HTTP 请 求 。 在 这 种 情况 下 ， 攻 击 者 开始 介入 ， 动 持 不 安全 连接 ， 然 后 将 受害 者 的 不 安 
全 请 求 重 定向 到 目标 网 站 的 80 端 口 。 因 为 任何 网 站 都 可 以 将 请 求 重 定向 到 其 他 网 站 , 所 以 浏览 器 
不 会 产生 怀疑 。 

最 终 的 结果 就 是 受害 者 会 向 目标 网 站 建立 一 个 明文 连接 ,其 中 包含 所 有 的 Cookie。 针 对 典型 
的 Web 应 用 程序 都 不 将 Cookie 标 识 成 安全 ， 攻 击 者 就 可 以 获取 到 受害 者 的 会 话 令 牌 并 继续 进行 会 
话 动 持 攻 击 。 
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这 种 攻击 在 目标 网 站 即使 不 对 80 端 口 进行 响应 的 情况 下 也 可 以 实施 , 由 于 攻击 者 位 于 中 间 位 
置 ， 因 此 他 可 以 截获 到 任何 端口 的 明文 信息 。 

另外 一 种 攻击 者 可 能 会 使 用 的 方法 是 将 受害 者 重 定向 到 相同 的 主机 名 和 443 端 口 ( 对 于 安全 
网 站 来 说 443 端 口 是 打 开 的 ), 但 以 http://www.example.com:443 这 样 的 方式 使 之 强制 发 送 明 文 信 
息 。 虽然 这 个 请 求 最 终 会 失败 ， 因 为 浏览 器 向 加 密 端 口 发 送 了 明文 请 求 , 但 是 由 于 请 求 中 已 经 包 
含 全 部 Cookie 信 息 ， 因 此 攻击 者 也 会 成 功 。 

Mike Perry 是 第 一 个 将 此 问题 公之于众 的 人 ， 就 在 sidejacking 公 开 之 后 不 久 。 但 是 他 发 往 
BugTraq 邮 件 列表 的 邮件 " 却 没有 引起 足够 的 重视 。 他 后 来 在 DEFCON 16 上 发 表 了 相关 演讲 ?坚持 
自己 的 观点 ， 同 时 发 布 了 它 的 感念 验证 工具 CookieMonster”。 


5.3 ”Cookie 算 改 


Cookie 算 改 攻 击 主要 发 生 在 攻击 者 无 法 直接 获取 到 Cookie 的 场景 下 ， 在 这 种 情况 下，Cookie 
一 般 都 得 到 了 很 好 的 保护 。 利 用 Cookie 规 范 中 的 弱点 ， 攻 击 者 可 以 注入 新 的 Cookie， 或 者 覆盖 、 
删除 已 有 的 Cookie。 本 节 传 达 的 主要 信息 是 ，Cookie 的 完整 性 并 不 能 被 完全 保证 ， 即 使 是 在 网 站 
完全 加 密 的 情况 下 。 
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5.3.1 了 解 HTTP Cookie 


HTTP Cookie 是 一 种 用 来 在 客户 端 保存 少量 数据 的 扩展 机 制 。 对 于 要 设置 的 每 个 Cookie， 服 
务 器 必须 制定 一 对 名 称 和 值 ， 以 及 描述 其 作用 范围 和 生命 周期 的 元 数据 。Cookie 的 创建 是 通过 使 
用 Set-Cookie 啊 应 头 来 实现 的 : 


Set-Cookie: SID=31d4d96e407aad42; Domain=www.example.com; Path=/; Secure; HttpOnly 
Set-Cookie: lang=en-US; Expires=Wed, 09 Jun 2021 10:18:14 GMT 


客户 端 在 所 谓 的 cookie-jar 中 存储 Cookie。 对 于 每 个 HTTP 事 务 ， 客 户 端 在 它们 的 cookie-jar 中 
查找 Cookie， 并 使 用 Cookie HTTP 请 求 头 将 它们 提交 给 服务 器 ; 

Cookie: SID=31d4d96e407aad42; lang=en-US 

Cookie 在 最 初 发 明 出 来 的 时 候 , 缺少 严格 的 定义 ， 这 种 情况 持续 了 很 长 时 间 。 结 果 就 是 ， 具 
体 的 实施 状况 很 不 一 致 并 且 充 满 漏洞 。 就 像 你 在 本 音 中 将 看 到 的 那样 , 很 多 漏洞 都 可 以 被 利用 来 
执行 攻击 。 针 对 Cookie 的 良好 的 定义 在 2011 年 出 现 ， 就 是 在 RFC 6265"” 中 。 

从 安全 的 观点 来 看 ，Cookie 的 问题 有 两 个 方面 : (1) 它们 从 一 开始 就 没有 被 很 好 地 设计 ， 导 
致 了 安全 漏洞 产生 ; (2) 它们 没有 与 当今 浏览 器 使 用 的 主流 安全 机 制 同步 ， 这 指 的 是 同 源 策略 









































QD Active Gmail “Sidejacking” - https is NOT ENOUGH, http://seclists.org/bugtraq/2007/Aug/70 ( Mike Perry，2007 年 8 
月 5 日 )。 

©® HTTPS Cookie Stealing, http://fscked.org/talks/ActiveHTTPSCookieStealing.pdf ( Mike Perry，2008 年 8 月 4 日 )。 

@) CookieMonster, http://fscked.org/projects/cookiemonster ( Mike Perry， 检 索 于 2014 年 7 月 15 日 )。 

@ RFC 6265: HTTP State Management Mechanism, http://tools.ietf.org/html/rfc6265 ( A. Barth，2011 年 4 月 )。 
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(same-origin policy，SOP )。 
口 宽松 主机 名 范围 
Cookie 被 设计 成 跨 特 定 域名 的 不 同 主机 名 来 使 用 ， 也 可 以 跨 不 同 协议 和 端口 使 用 。 一 个 为 
example.com 使 用 的 Cookie， 可 以 在 所 有 的 子 域名 上 生效 (例如 ，www.example.com 和 secure. 
example.com )。 同 样 ， 一 个 类 亿 blog.example.com 域 名 的 Cookie 默 认 只 对 blog.example.com 有 效 
( 当 Domain 参 数 没有 指定 的 时 候 )， 但 是 也 可 以 显 式 地 将 其 有 效 范 围 扩 展 到 父 域 名 。 这 样 一 
来 ， 恶 意 服务 器 可 以 将 Cookie 注 入 到 安装 在 共享 同一 个 域名 的 主机 上 的 其 他 网 站 或 应 用 。 
我 把 它们 叫 作 相关 主机 名 (related hostname ) 或 者 相关 网 站 (related sites )。 
这 个 关于 有 效 范 围 的 宽松 策略 与 SOP 规 则 相 剖 突 ，SOP 定 义 了 一 个 严格 匹配 协议 、 主 机 名 
和 端口 的 安全 上 下 文 。 5 
口 服务 器 获取 不 到 元 数据 
服务 器 只 能 接收 到 Cookie 的 名 称 和 值 ， 没 有 其 他 的 信息 。 重 要 的 是 ， 它 们 不 知道 Cookie 
的 来 源 。 如 果 知 道 的 话 ， 服 务 器 可 以 拒绝 不 是 它们 设置 的 Cookie。 
口 对 于 安全 Cookie 缺 少 完 整 性 验证 
Cookie 可 以 跨越 HITP 和 HTTPS 工 作 是 一 个 主要 的 问题 。 虽 然 你 可 以 使 用 secure 属 性 来 指 
明 一 个 Cookie 只 能 通过 加 密 通 道 提交 , 但 是 安全 和 不 安全 的 Cookie 都 存储 在 同一 个 命名 空 
间 里 。 更 糟糕 的 是 ,安全 标志 不 属于 Cookie 身 份 识别 的 一 部 分 ; 如 果 Cookie 名 称 、 域 名 和 
路 径 匹 配 ， 一 个 不 安全 的 Cookie 就 可 以 覆盖 掉 之 前 的 安全 Cookie。 
简单 地 说 ，HTTP Cookie 的 主要 缺陷 是 它们 的 完整 性 没有 得 到 保证 。 在 本 节 的 剩余 部 分 ， 我 
将 集中 讨论 TLS 上 Cookie 设 计 的 安全 含义 ， 为 了 更 广泛 地 覆盖 这 个 话题 ， 包 括 覆 盖 不 同 应 用 的 安 
全 问题 , 我 推荐 你 阅读 Michal Zalewski 的 《Web 之 困 : 现代 Web 应 用 安全 指南 》( The Tangled Web， 
2011 年 由 No Starch 出 版 社 出 版 )。 
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5.3.2 ”Cookie 算 改 攻击 


有 三 种 Cookie 算 改 攻击 : 两 种 会 导致 新 Cookie 的 创建 ， 因 此 被 归 类 于 Cookie 注 入 ( cookie 
injection ); 第 三 种 使 得 Cookie 被 删除 。 按 照应 用 程序 安全 的 惯例 ,这些 攻 击 都 具有 几 分 不 寻常 且 
戏剧 化 的 名 称 。 

在 过 去 几 年 中 , 不 同 的 研究 者 都 发 现 了 这 些 问题 ， 并 赋予 它们 不 同 的 名 称 。 虽 然 我 更 倾向 于 
Cookie 注 人 ， 因 为 这 个 名 称 准确 地 描述 了 到 底 发 生 了 什么 ,但 是 你 可 能 会 遇 到 其 他 名 称 : 跨 站 


Cookie (cross-site cooking ) ”、Cookie 固 定 (cookie fixation )、Cookie 强 连 ( cookie forcing ) “和 




















Cookie 投 搬 ( cookie tossing ) “。 





QD Cross-Site Cooking, http://www.securityfocus.com/archive/107/423375/30/0/threaded ( Michal Zalewski, 2006 年 1 月 29 日 )。 

©® Cookie forcing, http://scarybeastsecurity.blogspot.co.uk/2008/11/cookie-forcing.html ( Chris Evans，2008 年 11 月 24 日 )。 

@)New Ways Pm Going to Hack Your Web App，http:/media.blackhat.com/bh-ad-11/Lundeen/bh-ad-11-Lundeen-New 
Ways_Hack_ WebApp-WPpdf ( Lundeen 等 ，2011 年 8 月 )。 
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1. Cookie 驱 逐 

Cookie 驱 逐 ( cookie eviction ) 是 针对 浏览 器 的 Cookie 存 储 的 一 种 攻击 。 如 果 由 于 某 种 原因 ， 
攻击 者 不 喜欢 浏览 器 的 Cookie 存 储 中 存放 的 Cookie 的 话 ， 他 可 能 会 尝试 利用 Cookie 存 储 对 单独 
Cookie 大 小 、 每 域名 的 Cookie 数 量 和 组 合 Cookie 大 小 的 限制 来 进行 攻击 。 通 过 提交 大 量 的 假 
Cookie， 攻 击 者 最 终 可 以 让 浏览 器 丢弃 掉 所 有 的 真实 Cookie， 而 将 攻击 者 提交 的 假 Cookie 存 储 在 
浏览 器 中 。 

浏览 器 的 Cookie 存 储 空 间 在 多 个 方面 存在 限制 。Cookie 的 总 数 有 限制 ， 存 储 空间 也 是 这 样 。 
还 存在 一 个 每 域名 限制 (通常 是 几 十 个 )， 这 主要 是 防止 单个 域名 占 满 整 个 存储 空间 。 单 独 的 
Cookie 一 般 被 限制 在 4 人 KB 左右。 因此， 一 个 Cookie 驱 逐 攻 击 可 能 会 使 用 多 个 域名 来 让 Cookie 存 储 
空间 完全 游 出。 

2. 直接 Cookie 注 入 

在 执行 直接 Cookie 注 入 的 时 候 ， 攻 击 者 面 对 的 是 一 个 使 用 安全 Cookie 的 网 站 。 因 此 ， 他 无 法 
直接 看 到 Cookie ( 在 不 破解 加 密 的 情况 下 ), 但 是 可 以 创建 新 的 Cookie 或 者 覆盖 已 有 的 Cookie。 这 
个 攻击 利用 了 安全 和 不 安全 Cookie 存 在 于 同一 个 命名 空间 "中 的 事实 。 

从 概念 上 讲 , 这 个 攻击 与 5.2 闻 所 描述 的 Cookie 穷 取 类 似 : 攻击 者 截获 受害 者 发 出 的 任意 明文 
HTTP 事 务 并 用 它 来 强制 向 目标 网 站 发 起 明文 HTTP 请 求 。 然 后 攻击 者 截获 请 求 并 且 在 响应 中 包含 
任意 的 Cookie。 攻 击 可 能 像 下 面 这 样 简单 ; 

Set-Cookie: JSESSIONID=06D10C8B946311BEE81037A5493574D2 

在 实际 中 ， 为 了 让 覆盖 生效 ， 强 制 Cookie 的 名 称 、 域 名 和 路 径 必须 与 原始 Cookie 匹 配 。 攻 击 
者 必须 观察 目标 网 站 使 用 的 元 数据 并 在 攻击 中 替换 它们 。 例 如 ，Tomcat 设 置 的 会 话 Cookie 永 远 将 
路 径 设置 成 网 站 的 根 目录 : 


Set-Cookie: JSESSIONID=06D10C8B946311BEE81037A5493574D2; Path=/ 


3. 从 相关 主机 名 进行 的 Cookie 注 入 

当 直 接 注 和 人 Cookie 不 可 能 的 时 候 (例如 无 法 冒充 目标 网 站 )， 攻 击 者 可 以 基于 Cookie 在 相关 
主机 名 之 间 共 享 这 一 点 展开 攻击 。 如 果 攻 击 者 能 冒充 其 他 相关 主机 名 上 的 网 站 , 他 也 许可 以 从 那 
里 进行 Cookie 注 入 ”。 

例如 ，www.example.com 是 一 个 强 安全 性 的 网 站 ,但 是 此 域名 下 还 同时 存在 一 个 博客 站 点 ， 
位 于 blog.example.com 并 由 第 三 方 运 营 ， 安 全 性 较 差 。 如 果 攻 击 者 能 找到 博客 程序 上 的 一 个 XSS 
漏洞 ， 他 就 可 以 修改 其 Cookie。 攻 击 方法 与 前 一 部 分 “直接 Cookie 注 入 ”一 样 : 受害 者 被 迫 向 存 
在 漏洞 的 网 站 提交 一 个 HTTP 请 求 ， 此 网 站 会 设置 任意 的 Cookie。 





























































































































QD Multiple Browser Cookie Injection Vulnerabilities, http:/www.westpoint.ltd.uk/advisories/wp-04-0001.txt( Paul Johnston 
和 Richard Moore，2004 年 9 月 15 日 )。 

© Hacking Github with Webkit, http://homakov.blogspot.ru/2013/03/hacking-github-with-webkit.html ( Egor Homakov， 
2013 年 3 月 8 日 )。 
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注意 
当然 ， 由 不 同 实体 或 组 织 运营 一 个 网 站 的 时 候 ， 就 格外 值得 引起 注意 。 不 仅 其 他 组 织 
的 成 员 是 潜在 的 薄弱 环节 ， 他 们 也 可 能 是 威胁 本 身 。 

如 果 受 害 者 没有 保存 目标 网 站 的 任何 Cookie, 攻击 者 就 很 装运 了 。 无 论 他 向 受害 者 设置 什么 
Cookie， 受 害 者 都 会 使 用 。 假 设 存在 XSS 漏 洞 ， 攻 击 就 可 以 像 执 行 下 面 这 条 语句 一 样 简单 ( 从 
blog.example.com 上 的 一 个 页 面 执行 ): 

document .cookie = 'JSESSIONID=FORCED ID; domain=example.com'; 

注意 攻击 者 是 如 何 使 用 domain 属 性 来 将 Cookie 的 作用 范围 从 默认 的 blog.example.com 扩 展 到 
example.com 的 ， 这 将 对 预期 目标 www.example.com 起 作用 。 


























@ 取得 第 一 个 Cookie 

通常 ， 受 害 者 已 经 持 有 了 一 些 真实 的 Cookie。 如 果 攻 击 者 使 用 相同 的 名 称 注入 另 一 个 Cookie 
( 像 之 前 的 例子 中 那样 )， 浏 览 需 会 同时 接受 两 个 Cookie 并 将 它们 在 同一 个 请 求 中 一 起 发 出 : 

Cookie: JSESSIONID=REAL ID; JSESSIONID=FORCED ID 

这 种 情况 之 所 以 会 发 生 是 因为 浏览 器 将 这 两 个 值 当 成 不 同 的 Cookie, 它们 的 名 称 、 域 名 和 路 
径 属 性 都 不 完全 匹配 。 虽然 攻 击 者 成 功 地 注入 了 一 个 Cookie, 但 是 攻击 没有 效果 。 这 是 因为 当 多 
个 Cookie 的 名 称 相同 的 时 候 ， 一般 服 务 器 端的 应 用 程序 只 会 使 用 第 一 个 Cookie。 

从 这 里 开始 ,攻击 者 可 以 尝试 来 驱逐 所 有 真实 Cookie 了， 这 是 通过 使 用 大 量 的 假 Cookie 来 实 
现 的 。 这 在 理论 上 是 可 以 实现 的 ， 但 是 要 成 功 实施 ， 还 需要 一 些 技巧 。 

作为 一 种 选择 ， 攻 击 者 可 以 调整 Cookie 的 元 数据 来 将 假 的 Cookie 放 在 前 面 的 位 置 。 一 种 实现 
这 种 技巧 的 方法 是 使 用 path 属 性 ”"， 这 利用 了 浏览 器 优先 提交 拥有 更 多 属性 的 Cookie 的 特性 : 

document .cookie = 'JSESSIONID=SECOND FORCED ID; domain=example.com; path=/admin'; 

假设 浏览 器 正在 访问 位 于 /admin/ 路 径 下 的 资源 ， 它 将 按照 如 下 顺序 提交 Cookie: 

Cookie: JSESSIONID=SECOND FORCED ID; JSESSIONID=REAL ID; JSESSIONID=FORCED ID 

如 果 目 标 有 多 个 ， 攻 击 者 可 以 提交 多 个 Cookie， 每 个 Cookie 一 个 路 径 。 但 是 也 存在 这 样 一 种 
情况 ， 当 从 一 个 相关 网 站 处 发 起 的 Cookie 可 能 会 覆盖 掉 原 有 Cookie 时 ， 这 会 在 目标 网 站 显 式 地 将 
Cookie 的 域 设置 成 根 主机 名 的 时 候 发 生 ( 例如 ，example.com )。 

@ 使 用 相关 主机 名 履 盖 Cookie 

从 相关 主机 名 窗 六 Cookie 并 不 总 是 奏效 ， 因 为 大 部 分 网 站 在 设置 Cookie 的 时 候 并 不 显 式 地 指 
定 域 。 这 些 Cookie 被 标识 成 host-only。 当 从 一 个 相关 域名 注入 Cookie 的 时 候 , 你 需要 指定 一 个 域 ， 
这 意味 着 这 个 Cookie 可 能 永远 都 不 会 匹配 到 原始 的 Cookie， 即 使 主机 名 相同 。 

还 有 一 个 原因 导致 从 相关 主机 名 覆盖 Cookie 失 败 : 你 无 法 为 兄弟 主机 名 颁发 Cookie。 对 于 
blog.example.com ， 你 可 以 为 example.com 和 www.blog.example.com 和 颁发 Cookie ， 但 是 不 能 ; 









































































































































QD Understanding Cookie Security, http://kuza55.blogspot.co.uk/2008/02/understanding-cookie-security.html ( Alex kuza55, 
2008 年 2 月 22 日 )。 
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www.example.com 颁 发 Cookie。 





这 让 我 想到 了 两 种 可 以 成 功 覆 盖 的 场景 : 


























口 显 式 地 将 Cookie 的 域名 升级 成 根 域名 的 网 站 。 我 只 使 用 Firefox 28 进 行 了 测试 ， 但 是 其 他 
绝 大 多 数 浏览 右 应 该 也 都 有 相同 的 行为 。 
口 对 于 IE 浏 览 颖 (基于 版 本 11 进 行 了 测试 ), 没有 对 显 式 和 隐 式 设置 的 域名 进行 区 分 。 然而， 

















为 Cookie 的 名 称 总 是 要 匹配 的 ， 这 种 攻击 只 对 那些 为 根 域名 颁发 Cookie 的 网 站 有 效 。 
@ 用 假 的 相关 主机 名 和 窗 盖 Cookie 
还 有 一 种 场景 攻击 者 可 以 对 原始 Cookie 实 现 覆 盖 : 网 站 显 式 地 设置 了 Cookie 的 域 , 但 该 域名 


并 非 必 须 是 根 域 。 
这 是 因为 中 间 人 攻击 者 可 











以 选择 使 用 哪个 相关 主机 名 进行 攻击 。 互 联网 的 核心 运行 于 未 经 身 





份 验 证 的 DNS 上 ， 这 意味 着 攻击 者 可 以 劫持 DNS 并 伪造 主机 名 。 例 如 ， 如 果 攻 击 者 需要 对 





www.example.com 进 行 攻击 ,ff 


也 可 以 伪造 一 个 假 的 子 域 ， 例 如 ，www.www.example.com。 使 用 这 


个 子 域名 ， 他 可 以 为 www.example.com 和 颁发 Cookie。 


5.3.3 ”影响 





说 来 有 趣 ， 很 多 网 站 都 是 基于 攻击 者 不 能 发 现 或 者 影响 Cookie 内 容 这 个 前 提 而 进行 设计 的 。 
因为 这 个 假设 不 成 立 ， 所 以 就 会 有 隐患 ， 但 是 具体 如 何 进 行 攻击 还 依赖 具体 的 应 用 。 


口 XSS 











如 果 开 发 人 员 认 为 Cookie 不 会 变化 ， 他 们 可 能 以 不 安全 的 方式 使 用 。 例 如 ， 他 们 可 以 将 


Cookie 输 出 到 HTML 中 
口 CSRF 防 御 绕 过 


， 这 种 情况 下 信息 的 泄露 可 能 会 导致 XSS 漏 洞 的 产生 。 





有 些 网 站 依赖 跨 站 请 求 伪 造 ( cross-site request forgery，CSRF ) 防御 功能 , 在 这 种 场景 下 ， 
一 个 令 牌 字符 串 会 被 岁入 到 页 面 中 , 其 值 与 Cookie 中 的 一 致 。 如 果 可 以 更 改 浏览 句 中 某 个 
Cookie 值 的 话 ， 这 个 防御 手段 就 没 用 了 。 


口 应 用 程序 状态 改变 





开发 人 员 经 常 将 Cookie 当 成 一 种 可 以 抵御 算 改 的 安全 存储 方法 ,有 时 候 应 用 程序 的 某 些 环 


节 会 依赖 Cookie 的 值 来 
可 以 进行 修改 。 例 如 ， 





进行 决策 。 如 果 Cookie 可 以 进行 修改 , 那 相当 于 应 用 程序 的 行为 也 
可 能 存在 一 个 名 为 admin 的 Cookie， 如 果 其 值 为 的话， 表示 当前 用 








户 为 管理 员 。 很 明显 ,用 户 可 以 通过 修改 自己 Cookie 的 值 来 实现 攻击 。 因 此 严格 地 说 ,这 











并 不 是 TLS 相 关 的 问题 ， 然 而 这 种 问题 依然 会 作为 一 种 攻击 向 量 而 被 中 间 人 攻击 者 所 利 





用 。 下 面 小 方 介绍 的 防御 手段 会 针对 所 有 这 种 类 型 的 攻击 进行 防护 。 


口 会 话 固定 


会 话 固定 ( session fixation ) 是 一 种 反 向 的 会 话 劫持 攻击 。 相 对 于 获得 受害 者 的 会 话 ID ， 











这 种 攻击 是 由 攻击 者 将 自己 在 目标 网 站 上 的 会 话 ID 强加 给 受害 者 使 用 。 这 种 攻击 与 会 话 


劫持 相 比 ， 威 力 没 有 那么 大 ， 但 是 取决 于 目标 网 站 提供 的 特性 ， 也 可 能 造成 严重 的 后 果 。 
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5.3.4 缓解 方法 


Cookie 算 改 攻 击 总 体 来 说 可 以 通过 采取 合适 的 缓解 步骤 来 处 理 , 这 些 缓解 的 方法 主要 有 防止 
攻击 者 伪造 Cookie 以 及 检查 接收 到 的 Cookie 是 否 合法 等 。 

口 使 用 HSTS 并 履 盖 子 域名 
HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS ) "是 一 个 相对 较 新 的 标准 ， 用 
于 强制 使 用 加 密 来 访问 启用 它 的 网 站 。 可 以 将 HSTS 配 置 为 对 所 有 子 域名 启用 。 使 用 这 个 
方法 ， 中 间 人 攻击 在 不 攻破 加 密 的 情况 下 无 法 使 用 DNS 欺骗 来 注入 Cookie。 
HSTS 极 大 地 减 小 了 攻击 面 ， 但 是 使 用 它 并 不 是 毫 无 问题 。 首 先 ， 并 不 是 所 有 浏览 器 都 支 
持 HSTS。 其 次 ， 它 无 法 处 理 下 面 的 情形 : 正确 的 (加 密 的 ) 相关 域名 被 盗用 或 者 由 不 同 
的 、 不 可 信 的 实体 运营 。 我 将 在 10.1 节 中 详细 讨论 HSTS。 

口 Cookie 完 整 性 验证 
抵御 Cookie 注 入 的 最 好 方法 是 对 Cookie 进 行 完 整 性 验证 : 确保 从 客户 端 收 到 的 Cookie 确 实 
是 由 本 网 站 设置 的 。 这 可 以 通过 使 用 基于 散 列 的 消息 验证 代码 ( hash-based message 
authentication code，HMAC ) 实现 2?。 
不 需要 从 JavaScript 访 问 的 Cookie 可 以 通过 额外 的 加 密 来 进行 保护 。 
以 这 样 的 方式 设计 完整 性 验证 方案 是 非常 关键 的 : 颁发 给 一 个 用 户 的 Cookie 对 其 他 用 户 无 
效 。 否则 ,攻击 者 可 以 从 网 站 上 获取 到 一 个 合法 的 Cookie ( 用 他 自己 的 账号 ) 并 将 其 注入 
到 受害 者 的 账号 中 。 
Cookie 完 整 性 验证 和 加 密 并 不 能 帮助 保护 会 话 Cookie, 会 话 Cookie 一 般 是 使 用 一 种 基于 时 
间 限 制 的 密码 代替 机 制 。 通 道 ID 是 一 种 尝试 解决 这 种 问题 的 方法 ， 该 方法 在 浏览 器 和 网 
站 的 TLS 层 面 创建 了 一 种 密码 学 意义 上 的 绑 定 。 ”这 种 方法 也 叫 作 通 道 绑 定 〈channel 
binding ), 有 效 地 创建 了 一 个 可 以 蔡 换 掉 HTTP 会 话 的 会 话 。 在 实际 中 , 现 有 的 基于 Cookie 
的 机 制 会 被 保留 ， 不 过 将 与 安全 通道 进行 绑 定 以 防御 会 话 劫持 。 










































































































































































5.4 ”SSL 剥离 


SSL 剥 离 (SSL stripping， 更 准确 地 说 是 HTTPS 剥 离 ) 攻击 利用 了 很 多 用 户 在 开始 访问 某 个 
网 站 的 时 候 都 是 从 明文 部 分 开始 或 者 在 输入 网 站 地 址 的 时 候 没 有 显 式 地 使 用 https:/ 前 缀 (浏览 器 
会 优先 使 用 明文 连接 )。 因 为 明文 流量 是 完全 可 见 并 存在 风险 的 ， 所 以 这 些 流量 可 以 被 主动 网 络 
攻击 者 修改 。 

例如 , 如 果 网 站 的 一 个 页 面包 含 了 一 个 安全 连接 , 攻击 者 可 以 将 此 安全 连接 修改 成 明文 连接 。 














QD RFC 6797: HTTP Strict Transport Security, http://tools.ietf.org/html/rfc6797 ( Hodges 等 ，2012 年 11 月 )。 

© RFC 2014: HMAC: Keyed-Hashing for Message Authentication, http://tools.ietf.org/html/rfc2104( Krawczyk, 1997 年 2 月 )。 

G) TLS Channel IDs, http://tools.ietf.org/html/draft-balfanz-tls-channelid-01 ( Internet-Draft, D. Balfanz 和 R. Hamilton, 
2013 年 12 月 31 日 过 期 )。 
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由 于 没有 了 安全 连接 , 受害 者 永远 都 无 法 使 用 加 密 访问 网 站 。 与 此 同时 , 攻击 者 可 以 在 真正 的 网 
站 和 受害 者 之 间 进 行 代理 ， 获 取 原 本 是 加 密 的 内 容 。 这 样 一 来 ， 攻 击 者 不 仅 可 以 看 到 敏感 信息 ， 
还 可 以 任意 对 请 求 和 响应 进行 修改 ( 如 图 5-3 所 示 )。 

















浏览 器 攻击 者 服务 器 


https://victim.example.com 
a 攻击 者 使 用 伪造 
的 证 书 来 假扮 服 


务 器 





http://plaintext.example.com 攻击 者 拦截 请 求 并 
发 送 自己 的 请 求 























万 | 攻击 者 从 服务 
国 器 检索 页 面 
过 的 页 面 响应 给 
客户 端 

















图 5-3 ”中 间 人 攻击 的 变种 


HTTPS 剥 离 攻击 利用 了 大 多 数 用 户 都 无 法 区 分 安全 和 不 安全 浏览 的 事实 。 对 于 那些 可 以 区 分 
出 区 别 的 用 户 , 攻击 者 可 以 使 用 一 个 狐 独 的 蔡 代 方案 , 那 就 是 将 用 户 重 定向 到 一 个 被 攻击 者 完全 
控制 的 安全 网 站 , 其 名 称 和 真实 的 网 站 十 分 类 似 。 常 见 伎 俩 是 使 用 包含 整个 目标 地 址 的 长 地 址 ( 例 
如 ，https://victim.com.example.com ) 或 者 使 用 与 真实 网 站 只 差 一 个 字符 或 使 用 相似 Unicode 字 符 
的 地 址 。 

在 暗中 , 攻击 者 就 可 以 与 目标 网 站 建立 安全 或 者 不 安全 的 连接 , 但 是 这 对 于 受害 者 来 说 已 经 
没有 意义 ， 因 为 攻击 者 已 经 不 仅 可 以 看 到 原本 加 密 的 信息 ， 还 可 以 任意 对 其 进行 修改 。 

从 攻击 者 的 角度 来 看 ,HTTPS 剥 离 攻 击 很 有 意思 ， 因 为 这 种 攻击 可 以 轻易 地 进行 自动 化 ( 通 
过 使 用 已 经 存在 的 现成 工具 )。 此 类 工具 中 有 一 个 很 知名 ， 叫 作 sslstrip?。 


5.5 中间人 攻击 证 书 






























































HTTPS 和 剥离 攻击 对 于 大 部 分 用 户 可 能 是 有 效 的 攻击 手段 , 但 是 也 有 一 些 情况 会 导致 其 不 起 作 
用 。 一 些 用 户 确实 会 注意 到 安全 和 不 安全 网 站 之 间 的 差异 , 他 们 其 至 会 检查 浏览 带 的 锁 符 号 或 者 




















GD sslstrip, http://www.thoughtcrime.org/software/sslstrip/ ( Moxie Marlinspike，2011 年 5 月 15 日 )。 
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(少见 的 ) EV 证 书 的 绿 条 。 一 些 用 户 还 会 将 安全 网 站 加 入 到 浏览 器 书签 中 并 从 书签 中 直接 访问 。 
位 于 通信 两 端 中 间 的 攻击 者 依然 可 以 将 全 部 流量 进行 重 定向 , 但 是 成 功 的 实施 攻击 也 需要 进 
行 一 番 努 力 。 可 能 的 攻击 手段 有 以 下 这 些 。 
口 利用 验证 漏洞 
TLS 的 安全 性 依赖 于 客户 端 是 否 正确 地 验证 了 接收 到 的 证 书 。 如 果 验 证 逻辑 的 实现 有 问 
题 ， 就 可 能 会 被 攻击 者 使 用 无 效 的 证 书 或 者 证 书 链 。 
口 伪造 证 书 
伪造 证 书 ( rogue certificate ) 是 指 假 的 CA 证 书 , 但 是 这 些 证 书 却 被 浏览 器 所 接受 。 这 种 证 
书 虽然 很 难 获 得 ， 但 是 任 然 存在 获取 的 可 能 性 。 例 如 ， 一 个 这 样 的 证 书 在 2008 年 针对 
RapidSSL 展 开 的 攻击 中 被 伪造 出 来 。 你 可 以 在 4.5$ 节 中 找到 关于 这 次 攻击 的 更 多 信息 。 另 
外 的 一 种 可 能 是 强大 的 攻击 者 可 以 暴力 破解 较 弱 的 1024 位 的 CA 证 书 的 私 钥 。 在 2014 年 ， 
仍然 有 很 多 安全 强度 较 弱 的 证 书 受 到 主流 浏览 器 的 信任 。 据 估计 ， 破 解 一 个 1024 位 的 私 
钥 只 需要 花费 一 百 万 美元 ， 但 是 这 种 破解 需要 将 近 一 年 的 时 间 。?” 
获取 到 伪造 的 CA 证 书 之 后 ， 除 了 对 安全 最 偏执 的 用 户 之 外 ， 其 他 用 户 根本 无 法 察觉 到 攻 
击 者 。 结 合 中 间 人 攻击 可 以 干扰 OCSP 作 上 废 检查 以 及 大 多 数 浏览 器 会 忽略 掉 OCSP 失 败 的 
情况 ， 如 果 攻 击 者 可 以 长 时 间 控 制 受 害 者 的 互联 网 连接 ， 也 就 没有 办 法 对 伪造 的 CA 证 书 
进行 作废 。 
口 自 签名 证 书 
如 果 之 前 的 办 法 都 不 可 行 ， 攻 击 者 也 许可 以 尝试 最 简单 的 方法 ， 这 就 是 用 一 个 复制 真实 
证 书 各 项 值 的 自 签名 证 书 来 欺骗 受害 者 。 这 种 证 书 会 导致 浏览 器 出 现 警 告 ,但 是 多 数 用 
户 都 会 忽略 掉 警 告 。 更 多 的 细 市 在 下 一 节 中 说 明 。 
此 类 型 工具 有 两 个 很 知名 ,分别 是 sslsniff*? 和 SSLsplit®。 


5.6 ”证 书 警 告 


为 了 获得 真正 的 安全 性 ， 密 码 学 要 求 身 份 验证 。 如 果 你 无 法 确认 你 是 在 与 正确 的 对 方 通信 ， 
那 再 讨论 任何 安全 性 都 没有 意义 。 某 人 可 能 正在 劫持 通信 来 伪造 成 你 原本 的 通信 对 端 , 并 且 你 还 
发 现 不 了 。 这 种 情况 就 像 是 拿 起 电话 之 后 , 在 没有 确认 对 方 是 否 是 其 声明 的 身份 之 前 ， 就 与 对 方 
开始 讲话 。 

在 TLS 中 ， 我 们 使 用 证 书 来 进行 身份 验证 (TLS 支 持 其 他 的 身份 验证 方法 ， 但 是 很 少 使 用 )。 
在 连接 到 一 个 服务 器 的 时 候 , 你 会 想到 某 个 特定 的 域名 , 然后 期 望 服务 器 会 提供 一 个 证 书 来 证 明 
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QD Facebook’s outmoded Web crypto opens door to NSA spying, http:/www.cnet.com/news/facebooks-outmoded-web- 
crypto-opens-door-to-nsa-spying/( CNET，2013 年 6 月 28 日 )。 

© sslsniff, http://www.thoughtcrime.org/software/sslsniff/ ( Moxie Marlinspike，2011 年 7 月 25 日 )。 

@) SSLsplit - transparent and scalable SSL/TLS interception, https:/www.roe.ch/SSLsplit ( Daniel Roethlisberger，2015 年 
3 月 16 日 )。 
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它 有 权利 来 处 理 这 个 域名 的 流量 。 
如 果 你 收 到 了 一 个 无 效 的 证 书 , 正确 的 做 法 是 中 断 对 网 站 的 访问 。 不 幸 的 是 , 浏览 器 并 不 这 


样 做 。 因 为 网 络 上 充满 了 无效 的 证 书 ， 几 乎 可 以 保证 的 是 , 没有 任何 一 个 无 效 证 书 是 由 于 攻击 导 
致 的 。 面 对 这 个 问题 ， 浏 览 器 厂商 在 很 久之 前 就 决定 不 去 强制 严格 SSL 连 接 安 全 ， 而 是 将 这 个 问 
题 推 给 用 户 ， 也 就 是 以 证 书 警 告 ( certificate warning ) 的 形式 ; 例子 如 图 5-4 所 示 。 





Firefox 28 


Chrome 33 











Internet Explorer 11 




















图 5-4 浏览 器 中 的 证 书 警告 例子 


这 让 我 了 解 到 了 TLS 最 丑陋 的 事实 之 一 : TLS 的 核心 目的 是 保护 你 不 被 中 间 攻 击 所 危害 ， 但 
是 当真 的 攻击 到 来 的 时 候 ， 你 所 能 得 到 的 全 部 只 是 一 个 来 自 浏览 器 的 证 书 警告 ， 然 后 由 “你 ”来 


决定 是 否 遭 受到 了 攻击 。 








5.6.1 为 什么 有 这 么 多 无 效 证 书 
有 很 多 关于 无 效 证 书 流行 广泛 的 轶 事 证 据 , 很 难 找到 没有 遇 到 过 这 些 证 书 的 人 。 以 下 是 几 个 
根本 原因 。 

口 配置 错误 的 虚拟 主机 
今天 ， 多 数 网 站 只 在 端口 80 上 运行 且 不 使 用 加 密 。 一 个 常见 的 配置 错误 是 让 这 些 明 文 网 
站 和 在 443 端 口上 使 用 加 密 的 其 他 网 站 使 用 同一 个 卫 地 址 。 这 样 一 来 ， 如 果 用 户 尝试 使 用 
https 访 问 明 文 网 站 的 话 ， 就 会 导致 错误 的 发 生 : 证 书 和 域名 不 匹配 。 
这 个 问题 的 部 分 原因 是 ， 在 技术 层面 ， 我 们 没有 一 种 机 制 可 以 使 得 网 站 来 声明 是 否 支 持 
加 密 。 从 这 个 角度 来 看 , 托管 明文 网 站 的 正确 做 法 是 让 它们 使 用 关闭 了 端口 443 的 IP 地 址 。 
在 2010 年 ， 我 扫描 了 1.19 亿 个 域名 ， 寻 找 加 密 网 站 。 "扫描 的 列表 包括 所 有 的 .com 、.net 
和 .org 域 名 。 我 发 现 2265 万 ( 19% ) 的 安全 网 站 托管 在 大 概 200 万 个 下地 址 上 。 在 这 些 安全 
网 站 中 ， 只 有 720 000 个 (3.2% ) 网 站 的 证 书 和 域名 匹配 。 
有 一 个 名 称 正确 的 证 书 是 一 个 好 的 开始 , 但 是 这 还 不 够 。 大概 30% 的 这 类 证 书 在 2010 年 的 
调查 中 由 于 其 他 原因 而 实际 是 无 效 的 (不 可 信 )。 

口 域名 履 盖 范围 不 足 
在 少数 场合 下 ， 网 站 管理 员 购 买 并 部 署 了 证 书 ， 但 是 证 书 中 没有 包含 全 部 的 网 站 域名 。 
例如 ， 你 在 www.example.com 上 运行 了 一 个 网 站 ， 证 书 可 能 包括 这 个 域名 以 及 
example.com。 如 果 网 站 还 有 其 他 的 域名 ,证书 中 也 需要 包含 那些 域名 。 

口 自 签名 证 书 和 私有 CA 
自 签名 的 证 书 以 及 私有 CA 签发 的 证 书 不 适合 在 公开 场合 使 用 。 这 类 证 书 无 法 简单 并 可 靠 
地 与 中 间 人 攻击 的 证 书 区 分 开 。 在 我 的 调查 中 ， 大 约 48% 的 无 效 证 书 是 因为 这 个 原因 。 
那么 为 什么 人 们 要 使 用 这 类 证 书 ? 原 因 有 很 多 : (1) 购买 、 配 置 和 续签 证 书 带 来 了 额外 的 
工作 ,而 且 需 要 持续 投入 ; (2) 直到 几 年 前 ,证 书 的 价格 仍 比较 昂贵 ; (3) 一些 人 认为 公共 
可 信 的 证 书 应 该 是 免费 的 ， 因 而 拒绝 进行 付费 购买 。 然 而 ， 最 简单 的 事实 是 公共 可 信 证 
书 对 于 公开 网 站 是 适合 的 。 我 们 目前 对 此 还 没有 替代 品 。 

口 设备 使 用 的 证 书 
当今 , 很 多 设备 都 有 基于 Web 的 管理 界面 , 这些 界 面 要 求 使 用 安全 通信 。 当 这 些 设备 被 制 
造 出 来 的 时 候 , 域名 和 IP 还 无 法 确定 , 这 意味 着 生产 厂商 无 法 安装 有 效 的 证 书 。 理论 上 来 
讲 ， 最 终 用 户 可 以 自己 在 设备 上 安装 证 书 ， 但 是 很 多 这 种 设备 都 不 常用 ， 因 此 也 就 不 值 
得 去 购买 并 安装 证 书 。 此 外 ， 很 多 设备 的 管理 界面 也 不 允许 用 户 自 己 配 置 证 书 。 

口 过 期 的 证 书 
另外 一 个 无 效 证 书 产 生 的 重要 原因 是 过 期 。 在 我 的 调查 中 ,57% 的 无 效 证 书 是 由 于 过 期 导 
致 的 。 在 很 多 情况 下 ， 网 站 的 管理 员 忘 记 去 续签 证 书 ， 或 者 放弃 了 取得 有 效 证 书 的 想法 ， 
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QD Internet SSL Survey 2010 is here!, http://blog.ivanristic.com/2010/07/internet-ssl-survey-2010-is-here.html ( Ivan Ristic ， 
2010 年 7 月 29 日 )。 
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但 是 并 没有 将 老 的 证 书 下 线 。 
口 错误 的 配置 
另外 一 个 常见 的 问题 是 错误 的 配置 。 为 了 证 一 张 证 书 受到 信任 ， 每 个 浏览 器 都 需要 建立 
起 一 条 信任 链 ， 从 服务 器 证 书 到 一 个 可 信任 的 根 证 书 。 服 务 器 需要 提供 除了 根 证 书 之 外 
的 整个 信任 链 ， 但 是 根据 SSL Pulse 的 数据 ， 大 约 6% 的 服务 器 的 证 书 链 不 完整 。 在 某 些 情 
况 下 ， 浏 览 需 可 以 对 此 作出 变通 ， 但 是 通常 它们 并 不 会 这 样 做 。 
当 谈 到 用 户 体验 的 时 候 ， 一 个 2013 年 的 研究 结果 显示 在 39 亿 个 公开 的 TLS 连 接 中 ， 有 1.54% 
的 连接 存在 证 书 警告 。" 但 是 这 只 是 在 公开 的 互联 网 上 的 情况 ， 在 这 里 网 站 一 般 都 会 尽量 避免 警 
告 。 在 某 些 特定 的 场景 下 (例如 内 联网 或 者 内 部 应 用 )， 你 可 以 需要 每 天 都 需要 点 击 通过 证 书 警 
告 ， 以 便 可 以 访问 和 工作 相关 的 Web 应 用 程序 。 


5.6.2 ”证 书 警 告 的 效果 


如 果 没 有 证 书 警告 ， 世 界 将 变 得 更 加 美好 ,但 是 实际 上 浏览 器 厂商 一 直 在 增强 安全 性 和 让 
用 户 满意 两 者 之 间 寻 找 合 适 的 平衡 。 在 2008 年 ， 我 曾 试 探 性 地 去 说 服 Mozilla 从 Firefox 中 取消 为 
无 效 证 书 增 加 例外 的 功能 ， 这 将 使 得 跳 过 证 书 警告 变 得 特别 困难 。 毫 无 意外 ， 我 的 bug 提 交 被 拒 
绝 了 。 他们 的 答复 ( 以 指向 早年 间 一 个 帖子 的 链接 的 形式 ”) 是 他 们 尝试 过 这 样 做 , 但 是 用 户 对 
此 的 反抗 十 分 强烈 。 这 反映 了 一 个 更 加 广泛 存在 的 目标 不 一 致 问题 : 浏览 器 厂商 希望 增加 市 场 份 
额 , 但 是 增强 安全 会 阻 得 这 一 目标 。 这 样 一 来 , 浏览 器 厂商 只 能 在 确保 大 多 数 用 户 高 兴 的 前 提 下 ， 
尽 可 能 多 地 提供 安全 性 。 在 某 些 非常 偶然 和 少见 的 时 候 , 用 户 才 会 对 来 自 真正 的 中 间 人 攻击 导致 
的 证 书 警 告 进 行 抱怨 ， 这 提醒 了 每 一 个 人 证 书 警 告 的 真正 含义 。 "也许 关 于 中 间 人 攻击 的 最 大 问 
题 是 用 户 无 法 感知 它们 〈 毕 竞 证 书 警 告 是 生活 中 的 “正常 ”部 分 )， 也 不 会 报告 这 些 攻击 。 

然而 , 事实 是 让 用 户 越 难 忽略 掉 证 书 和 警告 ,为 用 户 提 共 的 安全 性 就 越 强 。 今天， 主流 的 浏览 
器 都 使 用 了 所 谓 的 间 际 性 警告 (interstitial warning ) 或 中 断 性 警告 (interruptive warning )， 这 些 
警告 会 覆盖 整个 浏览 器 的 内 容 窗口 。 老 式 的 弹 对 话 框 的 警告 方式 (Safari 还 在 使 用 ) 被 认为 是 无 
效 的 , 它们 看 起 来 与 我 们 从 系统 中 经 常 看 到 的 其 他 对 话 框 没什么 区 别 。 大 部 分 浏览 器 允许 用 户 点 
击 忽 略 掉 警告 。 当 可 以 简单 地 一 次 点 击 就 绕 过 障碍 时 , 在 用 户 和 网 站 之 间 唯 一 剩 下 的 就 是 那些 严 
厉 警告 的 语言 了 。 像 我 们 预料 的 那样 ， 很 多 人 都 会 选择 继续 浏览 。 

早期 关于 证 书 警 告 有 效 性 的 报告 显示 出 了 非常 高 的 点 击 率 , 但 是 这 个 大 部 分 是 在 可 控 的 实验 































































































































































































QD Here’s My Cert So Trust Me, Maybe? Understanding TLS Errors on the Web, https://www.icsi.berkeley.edu/pubs/ 
networking/ICSI heresmycert13.pdf ( Akhawe 等 ，WWW Conference，2013 年 )。 

© Bug 431827: Exceptions for invalid SSL certificates are too easy to add, https://bugzilla.mozilla.org/show_bug.cgi?id 
=431827 ( Bugzilla@Mozilla， 报 告 于 2008 年 5 月 2 日 )。 

@ TODO: Break Internet, http://blog.johnath.com/2007/10/11/todo-break-internet/ ( Johnathan Nightingale，2007 年 10 月 
11 日 )。 

@ Bug 460374: All certificates show not trusted - get error code (MITM in-the-wild), https://bugzilla.mozilla.org/show_bug. 
cgi?id=460374( Bugzilla@Mozilla， 报 告 于 2008 年 10 月 16 日 )。 
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室 环境 中 得 出 的 ， 这 引入 了 一 些 不 可 靠 的 因素 。” 
此 外 ,我 们 的 分 析 也 引起 了 对 于 人 类 行为 安全 研究 可 用 调查 结果 的 实验 室 研究 仍 罕 

察 无 几 现 状 的 担忧 ,尤其 是 在 生态 验证 很 重要 的 情况 下 …… 参 与 我 们 试验 的 那些 关心 安 

全 的 人 所 表现 出 来 的 不 愿意 的 情绪 ,引起 了 人 们 对 这 类 针对 安全 实践 和 主要 人 口 行为 的 

研究 结论 的 准确 性 和 可 靠 性 的 担忧 。 

与 此 同时 ,浏览 器 厂商 开始 使 用 未 测 ( telemetry ) 技术 来 监控 产品 的 使 用 情况 。 这 允许 对 用 
户 在 自己 环境 中 的 使 用 情况 进行 观察 ,提供 了 更 加 准确 的 结果 。 实 验 表 明 ，Firefox 提 供 了 最 好 的 
实现 方法 ， 只 有 33% 的 用 户 继续 访问 了 无 效 证 书 的 网 站 。 作 为 对 比 ， 大 概 70% 的 Chrome 用 户 会 选 
择 继续 浏览 。? 一 个 稍 后 的 调查 结果 中 反映 出 Chrome 在 模仿 了 Firefox 的 实现 之 后 ， 点 击 率 下 降 到 
了 56%。9 


5.6.3 点 击 -通过 式 警 告 与 例外 


Firefox 对 无 效 证 书 处 理 方法 的 成 功 也 可 以 从 这 个 角度 来 解释 , 那 就 是 Firefox 是 唯一 不 使 用 点 
击 - 通 过 式 警 告 的 浏览 器 。 相 反 , 它 会 让 你 经 历 一 个 多 步骤 的 过 程 来 创建 一 个 证 书 例外 ( certificate 
exception )， 创 建 之 后 无 效 的 证 书 会 被 当成 可 信 证 书 来 处 理 ， 这 对 后 续 的 访问 也 是 同样 有 效 的 。 
在 这 种 情况 下 我 们 可 以 预料 到 ， 这 个 过 程 的 每 一 个 步骤 都 会 让 一 些 用 户 放 弃 继续 并 留意 到 警告 。 

反对 证 书 例外 的 论点 是 它 会 使 自 签名 证 书 的 使 用 变 得 更 加 容易 。 确实 如 此 , 但 这 也 不 一 定 就 
是 坏事 。 在 使 用 者 事先 了 解 的 情况 下 ， 自 签名 证 书本 身 不 一 定 就 不 安全 。 例 如 ， 我 家 里 有 一 个 
ADSL 路 由 器 ， 我 可 以 通过 TLS 访 问 它 的 管理 界面 。 我 清楚 地 知道 它 没有 有 效 的 证 书 ， 但 是 我 没 
必要 每 次 都 在 登录 管理 界面 的 时 候 点 击 并 通过 一 个 证 书 警告 此 外 ,例外 是 基于 每 证 书 而 创建 的 。 
这 也 就 是 说 ， 如 果 我 受到 了 攻击 , 证书 警 告 会 再 次 出 现 。 在 安全 领域 , 这 个 方法 叫 作 首次 使 用 信 
任 (trust on first use，TOFU )， 该 方法 已 在 全 世界 上 千 万 服务 器 的 SSH 服 务 上 成 功 使 用 。 这 种 方 
法 的 另外 一 个 名 称 是 密 钥 连续 性 管理 (key continuity management )。 
证 书 例外 仅 对 于 个 人 使 用 以 及 知道 只 有 在 安全 的 情况 下 才 可 以 创建 例外 的 那 一 小 部 分 技术 
用 户 来 说 是 有 用 的 。 很 关键 的 一 点 是 , 证 书 例外 必须 要 在 用 户 没有 遗 受 攻击 的 情况 下 创建 。 在 我 
的 例子 中 ， 我 知道 ADSL 路 由 器 上 的 证 书 自 己 不 会 改变 ， 如 果 在 创建 例外 之 后 再 次 出 现 了 警告 ， 
那 将 是 非常 不 正常 的 。 





































































































GD On the Challenges in Usable Security Lab Studies: Lessons Learned from Replicating a Study on SSL Warnings， 
https://cups.cs.cmu.edu/soups/2011/proceedings/a3_Sotirakopoulos.pdf ( Sotirakopoulos 等 ， Symposium on Usable 
Privacy and Security，2011 年 )。 

© Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness, https:/www.usenix.org/ 
conference/usenixsecurity13/technical-sessions/presentation/akhawe ( Akhawe 和 Felt，USENIX Security，2013 年 )。 

@) Experimenting At Scale With Google Chrome’s SSL Warning, http:/www.robreeder.com/pubs/sslExperimentCHI2014.pdf 
(Felt 等 ，ACM CHI Conference on Human Factors in Computing Systems，2014 年 )。 
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5.6.4 缓解 方法 


如 果 你 在 乎 你 网 站 的 安全 , 那 就 一 定 非常 担心 你 的 用 户 会 在 真正 的 中 间 人 攻击 的 时 候 执 行 点 
击 -通过 操作 。 毕 竟 ， 你 效 过 了 所 有 的 麻烦 ， 包 括 使 用 有 效 证 书 、 配 置 服务 器 以 及 其 他 所 有 在 你 
这 里 能 做 到 的 保护 用 户 安全 的 事情 。 

显然 , 对 于 整个 生态 系统 ， 你 能 做 的 事情 很 少 , 但 是 你 可 以 通过 使 用 HSTS 来 保护 你 的 网 站 ， 
这 将 是 一 个 对 于 浏览 器 发 出 的 信号 ,来 让 它们 调整 行为 并 使 用 更 加 严格 的 安全 姿态 来 面 对 加 密 。 
HSTS 的 一 个 特性 是 不 允许 证 书 警 告 。 如 果 局 用 了 HSTS 的 网 站 出 现 了 证 书 问题 , 所 有 的 错误 都 会 
被 当成 严重 级 别 并 且 无 法 忽略 。 在 这 种 情况 下 ， 你 就 可 以 重 获 对 安全 的 控制 。 


5.7 ”安全 指示 标志 


安全 指示 标志 是 一 种 浏览 器 的 UI 元 素 , 用 来 表示 当前 页 面 的 额外 安全 信息 , 一 般 来 说 会 表示 
下 面 4 种 含义 中 的 一 种 。 
口 “当前 页 面 使 用 SSL” 
口 “我 们 知道 运营 此 网 站 的 合法 实体 的 身份 ” 
口 “ 这 个 页 面 使 用 的 是 无 效 证 书 ” 
口 “页面 中 的 部 分 内 容 不 是 加 密 的 ” 

除了 EV 证 书 (EV 证 书 将 网 站 与 某 个 合法 实体 进行 关联 ), 其 他 的 指示 标志 之 所 以 存在 , 主要 
是 因为 网 站 加 密 是 可 选 的 , 并 且 浏览 需 对 于 安全 处 理 比 较 随意 ( 如 图 5-5 所 示 )。 如 有 果 Web 是 100% 
加 密 的 ， 并且 不 存在 证 书 警 告 以 及 混合 内 容 的 情况 ， 你 可 能 只 需要 关心 是 否 有 EV 证 书 的 标志 就 
行 了 。 

安全 指示 标志 最 大 的 问题 是 大 多 数 用 户 都 不 关注 它们 , 甚至 根本 没有 注意 到 它们 的 存在 。 我 
们 是 通过 一 些 针 对 安全 指示 标志 的 研究 而 了 解 到 这 个 情况 的 ， 其 中 一 个 研究 使 用 了 眼球 追踪 技 
术 。 该 研究 发 现 大 多 数 用 户 很 少 看 安全 标志 ， 主 要 的 目光 都 集中 在 内 容 上 。 "在 此 研究 中 ， 没 有 
任何 参与 者 注意 到 了 EV 标 志 。 这 证 实 了 另外 一 个 研究 的 结论 ， 该 研究 的 作者 得 出 了 完全 相同 的 
结论 。” 

也 许 造 成 这 种 结论 的 一 个 原因 是 安全 指示 标志 缺少 一 致 性 , 无 论 是 在 不 同 的 浏览 器 之 间 还 是 
在 同一 浏览 器 的 不 同 版 本 之 间 。 浏 览 器 的 指南 对 此 有 说 明 ， 但 是 不 够 详细 。” 







































































































































































GD Exploring User Reactions to New Browser Cues for Extended Validation Certificates https://www.ccsl.carleton.ca/ 
paper-archive/sobey-esorics-08.pdf ( Sobey 等 ，ESORICS ，2008 年 )。 

© An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks, http:/www.adambarth.com/papers/ 
2007/jackson-simon-tan-barth.pdf ( Jackson 等 ，Proceedings of Usable Security，2007 年 )。 

@@ Web Security Context: User Interface Guidelines ，http://www.w3.org/TR/wsc-ui/( W3C 建 议 ，2010 年 8 月 12 日 )。 
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图 5-5 ”当前 浏览 器 安全 指示 标志 的 例子 


我 想起 了 在 SSL 刚 被 使 用 的 时 候 ， 为 了 让 用 户 了 解 “ 锁 ” 符 号 的 含义 (“ 如 果 你 看 见 一 个 锁 ， 
你 就 是 安全 的 ”), 进行 了 大 量 的 宣传 教育 。 几 年 之 后 ,浏览 器 厂商 开始 随意 摆弄 用 户 界面 。 在 革 
些 情况 下 ( 例如 Firefox )， 可 能 每 个 版 本 之 间 都 存在 差异 。 

与 此 同时 ， 网 站 开始 在 网 页 上 使 用 锁 标 记 , 这 进一步 削弱 了 消息 的 传达 。 因 此 锁 标 记 的 含义 

具体 的 (使 用 加 密 ) 变 成 了 普遍 的 安全 指示 标志 。 在 很 多 情况 下 ， 锁 标记 的 出 现 是 没 意 义 的 。 
1 很 多 网 站 明显 地 提供 了 锁 标 志 ， 却 不 使 用 加 密 。 
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今天 , 仅 从 广义 上 来 讲 ， 仅 有 的 一 致 性 是 EV 证 书 的 绿色 使 用 。 这 一 点 目前 是 所 有 浏览 器 都 
遵守 的 。 

对 于 移动 平台 , 情况 看 起 来 更 炎 。 由 于 屏幕 尺寸 更 小 , 浏览 器 厂商 努力 地 去 移 除 几 乎 所 有 的 
页 面 元 素 ， 而 这 也 会 影响 到 安全 指示 标志 。 对 于 很 多 移动 浏览 器 ,即使 是 安全 专家 也 需要 很 费劲 
才能 区 分 开 安 全 和 不 安全 网 站 。” 

这 导致 一 些 研究 者 得 出 了 移动 用 户 遭 受 钓 鱼 攻击 威胁 的 可 能 性 是 其 他 用 户 的 三 倍 。 此 外 ， 
移动 应 用 ( 非 浏 览 器 ) 的 安全 性 总 体 来 说 也 很 难 评估 。 虽 然 所 有 应 用 都 应 该 使 用 安全 连接 与 服务 
顺 进 行 通信 , 但 是 实际 情况 是 否 这 样 我 们 无 法 得 知 ， 因 为 它们 不 提供 安全 指示 标志 。 而 且 ， 即 使 
它们 这 样 做 了 , 谁 又 能 知道 它们 是 否 只 是 显示 了 一 个 锁 标 记 但 是 实际 上 却 依然 没有 加 密 通信 呢 ? 
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5.8 混合 内 容 


TLS 协 议 将 自己 考虑 在 一 个 连接 之 内 并 且 只 关注 数据 在 网 络 层 的 安全 。 这 种 分 开 的 考虑 对 于 
简单 的 上 层 协议 来 说 是 奏效 的 ， 例 如 SMTP。 然 而 ， 某 些 协议 在 同一 个 安全 上 下 文 (例如 浏览 
会 话 ) 中 具有 多 个 连接 (例如 FTP 和 HTTP )。TLS 对 这 种 情况 没有 提供 任何 的 指导 ， 这 依赖 于 用 
户 代 理 的 开发 人 员 进 行 安全 方面 的 实现 。 

对 于 HTTPS， 你 可 能 很 难 找到 一 个 只 使 用 单一 连接 的 页 面 。 对 于 几乎 所 有 的 网 站 ，HTMIL 标 
记 、 图 片 、 样 式 表 、JavaScript 以 及 其 他 页 面 资 源 不 仅 是 从 多 个 连接 获取 到 ,也 有 可 能 是 来 自 互联 
网 上 不 同 的 服务 器 和 其 他 网 站 。 为 了 将 一 个 页 面 进行 正确 的 加 密 , 所 有 的 页 面 资源 都 通过 HTTPS 
进行 获取 是 必要 的 。 在 实际 中 ， 全 部 使 用 HTTPS 的 情况 很 不 常见 ， 这 就 导致 了 混合 内 容 (mixed 
content ) 安全 问题 的 发 生 。 


注意 

本 节 只 履 盖 了 同 页 面 混合 内 容 的 问题 ,但 是 在 整个 网 站 层面 也 存在 同样 的 问题 。 网 站 
如 果 混 合 这 些 安全 和 不 安全 的 页 面 ,就 容易 遇 到 开发 问题 (例如 ,使 用 不 安全 的 Cookie 
或 者 不 加 密 交 付 敏感 内 容 ) 以 及 容易 遭受 SSL 剥 离 攻击 。 


5.8.1 根本 原因 


为 了 理解 混合 内 容 为 什么 如 此 普遍 ,我们 要 首先 回顾 一 下 Web 的 根源 并 考虑 它 极 快 的 进化 速 
度 。 人 们 注意 的 焦点 是 如 何 将 事情 完成 ， 因 此 要 克服 由 成 本 、 技 术 和 安全 带 来 的 限制 。 
口 性 能 
在 SSL 发 展 的 早期 ， 与 明文 HTTP 相 比 其 性 能 极 差 。 今 天， 服务 器 有 了 更 快 的 处 理 右 和 更 




































































QD Measuring SSL Indicators on Mobile Browsers: Extended Life, or End of the Road, http:/www.cc.gatech.edu/~traynor/ 
papers/amrutkar-isc12.pdf ( Amrutkar 等 ，Information Security Conference, 2012 年 )。 

©® Mobile Users Three Times More Vulnerable to Phishing Attacks, https://securityintelligence.com/mobile-users-3- 
times-more-vulnerable-to-phishing-attacks/ ( Mickey Boodaei，2011 年 1 月 4 日 )。 
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多 的 内 存 , 我 们 仍然 在 关注 密码 学 操作 的 速度 。 回 到 早年 的 时 候 ， 取 得 高 性 能 SSL 的 唯一 
方法 就 是 使 用 特定 的 加 速 硬件 ， 这 些 硬件 都 十 分 昂贵 。 
因为 性 能 的 问题 , 人 们 都 选择 远离 SSL。 对 于 将 整个 网 站 覆盖 100% 的 加 密 是 完全 不 可 能 的 。 
你 可 能 会 争论 说 这 种 方法 是 有 道理 的 ， 并 且 最 终 的 选择 会 在 部 分 安全 和 没有 安全 之 间 。 
今天 ， 人 性 能 依然 是 一 个 需要 关注 的 问题 ， 但 是 更 多 的 是 关于 延迟 。 由 于 建立 安全 连接 引 
入 的 多 余 RTIT， 访 问安 全 网 站 会 存在 微小 的 延迟 。 
口 Mashup 
从 某 种 角度 来 说 ，Web 确 实 高 速 发 展 起 来 了 ，Mashup (混合 Web 应 用 程序 ) 的 概念 也 随 之 
诞生 。 网 站 不 再 是 自己 提供 全 部 内 容 。 相 反 ， 它 们 混合 其 他 网 站 的 内 容 并 将 精力 用 在 用 
户 体 验 上 ， 而 内 容 来 源 则 被 隐 去 。 在 某 些 情况 下 ， 内 容 是 免费 获得 的 ， 在 其 他 情况 下 ， 
Mashup 操 作 是 通过 商业 交易 完成 的 。 
一 种 Mashup 的 场景 是 使 用 第 三 方 的 代码 来 做 网 站 分 析 ， 尤 其 是 Google 在 免费 推出 它 的 分 
析 服 务 之 后 ,这 种 现象 变 得 十 分 普遍 。 根 据 某 些 评估 所 称 , 有 50% 的 网 站 中 都 使 用 了 Google 
Analytics。? 
Mashup 于 对 安全 来 说 简直 就 是 亚 梦 。 它 们 主要 通过 引入 第 三 方 的 JavaScript 代 码 来 实现 。 
不 幸 的 是 ， 虽然 这 个 方法 导致 网 站 建设 的 成 本 急剧 减 小 ， 但 是 也 给 了 提供 代码 的 第 三 方 
网 站 全 面 控制 其 他 网 站 的 可 能 。 它 同样 给 网 站 用 户 带 来 了 一 些 问 题 : 在 同一 个 网 站 上 集 
合 众 多 实体 ， 他 们 很 难 了 解 到 底 是 在 与 谁 通信 以 及 数据 存储 到 了 哪里 。 
在 加 密 的 上 下 文中 ， 主 要 的 问题 是 在 很 多 场景 中 第 三 方 的 内 容 和 服务 不 支持 加 密 。 有 的 
时 候 ， 可 以 使 用 加 密 的 服务 但 是 价格 更 贵 。 这 样 一 来 ， 人们 简单 地 在 “安全 ”网 站 中 去 
包含 不 安全 ( 明文 ) 内 容 。 
为 了 阐明 这 个 问题 ， 让 我们 看 一 下 Google 的 广告 平台 AdSense， 它 从 2013 年 9 月 开始 才 提 
供 HTTPS 服 务 。” 
基础 设施 成 本 
随 着 网 站 间 竞 争 的 加 剧 ， 如 果 网 站 只 在 一 个 地 理 位 置 上 提供 服务 是 无 法 有 很 强 竞 争 力 的 。 
内 容 分 发 网 络 (content delivery network，CDN ) 为 此 崛起 ， 它 将 内 容 以 最 优 的 方式 交付 
给 用 户 。 主 要 原理 是 在 全 球 部 署 大 量 的 服务 器 ， 网 站 的 访问 者 可 以 访问 最 快 的 那个 。 
CDN 的 问题 是 其 为 很 多 用 户 提供 了 大 量 数据 文件 (通常 是 静态 的 )。 加 密 不 仅 增加 了 CPU 
和 内 存 的 需求 ， 同 时 也 影响 了 缓存 并 增加 了 证 书 和 私 钥 管理 的 负担 。 
最 重要 的 是 IP 地 址 的 问题 。 对 于 明文 的 HTTP 来 说 ， 因 为 虚拟 主机 的 使 用 ，IP 地 址 不 是 问 
题 。 这 使 得 大 范围 的 托管 和 分 发 变 得 简单 。 安 全 网 站 的 虚拟 主机 完全 不 同 ， 这 对 于 公开 
网 站 还 是 不 可 行 。 这 意味 着 你 需要 去 为 网 站 分 配 独立 的 耻 地 址 。 你 不 得 不 将 你 的 基础 设施 
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QD Usage statistics and market share of Google Analytics for websites, http://w3techs.com/technologies/details/ta-googleanal- 
ytics/all/all ( W3Techs，2014 年 7 月 15 日 )。 

© Use AdSense on your HTTPS sites, http://adsense.blogspot.co.uk/2013/09/use-adsense-on-your-https-sites13.html( Sandor 
Sas，2013 年 9 月 16 
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拆 分 成 很 多 组 ， 这 导致 了 更 复杂 的 结构 和 运 维 成 本 的 增加 。 
此 外 , IPv4 地 址 的 全 球 性 短缺 也 是 一 个 问题 。 一些 公司 通过 使 用 共享 的 多 域名 证 书 来 为 不 
相关 的 网 站 提供 服务 ， 但 这 仍然 很 复杂 。 
基本 的 观点 是 ， 安 全 的 CDN 是 有 可 能 的 ， 但 成 本 较 高 。 
基于 上 述 原因 , 浏览 器 一 般 对 页 面 加 密 只 提供 很 少 的 完整 性 检查 。 在 我 们 的 开发 文化 中 , 混 
合 内 容 问 题 得 到 允许 并 变 得 根深 蒂 固 。 











5.8.2 ”影响 


混合 内 容 问 题 造 成 的 影响 主要 与 内 容 没 有 被 加 密 有 关 。 经 过 很 多 年 之 后 ， 形 成 了 两 个 概念 : 
混合 被 动 内 容 ( mixed passive content ) 和 混合 主动 内 容 ( mixed active content )。 前 者 也 叫 作 混 合 
显示 (mixed display ), 它们 是 低 风 险 的 内 容 , 例如 图 片 。 后 者 也 叫 作 混合 脚本 (mixed scripting )， 
它们 是 高 风险 的 内 容 ， 例 如 HIML 和 JavaScript 脚 本 。 

混合 主动 内 容 是 真正 的 威胁 来 源 。 一 个 对 于 JavaScript 文 件 不 受 加 密 的 引用 可 能 会 被 主动 攻击 

支持 ， 并 用 来 获取 对 页 面 的 完全 控制 ， 以 及 使 用 受害 者 的 身份 在 网 站 上 执行 任意 的 动作 。 对 于 
也 危险 的 资源 类 型 也 是 这 样 ， 例 如 HTML 标 记 (包括 通过 框架 )、 样 式 表 、Flash 和 Java 应 用 程 
等 。 
虽然 混合 被 动 内 容 不 像 混合 主动 内 容 那样 危险 , 但 是 仍然 会 破坏 页 面 的 完整 性 。 在 最 不 危险 
的 情况 下 ,攻击 者 可 以 通过 在 图 片 中 插入 信息 来 玩弄 受害 者 。 这 可 能 会 导致 钓鱼 攻击 的 发 生 。 针 
对 浏览 器 的 图 像 处 理 代码 ,同样 有 可 能 对 图 片 注入 恶意 代码 。 最 终 ， 某 些 浏 览 器 可 能 会 使 用 内 容 
噢 探 (content sniffing ) 并 且 可 能 会 将 图 片 当 作 脚本 来 执行 ， 在 这 种 情况 下 ， 攻 击 者 也 可 能 会 控 
制 整 个 页 面 。 

此 外 ,任何 与 主页 在 一 个 域名 下 的 其 他 未 加 密 内 容 都 会 泄露 网 站 的 会 话 Cookie。 就 像 我 在 本 
章 前 面部 分 所 述 , 没有 正确 保护 起 来 的 Cookie 会 被 任何 主动 攻击 者 获取 到 , 但 是 针对 混合 内 容 的 
场景 ，Cookie 也 会 被 被 动 攻 击 者 获取 到 。 
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5.8.3 浏览 器 处 理 


在 开始 的 时 候 , 混合 内 容 为 所 有 的 浏览 器 所 人 允许。 浏览 器 厂商 希望 网 站 的 设计 者 和 程序 员 可 
以 理解 这 个 潜在 的 安全 问题 并 作出 正确 的 处 理 。 随 着 时 间 的 推移 ， 浏览 器 厂商 改变 了 态度 ,开始 
对 这 个 问题 更 加 感 兴趣 并 且 对 其 进行 了 一 些 限 制 。 

今天 , 大 多 数 浏览 器 趋向 于 在 安全 和 破坏 网 页 浏览 两 者 之 间作 出 妥协 : 混合 被 动 内 容 是 允许 
的 ,混合 主动 内 容 则 不 允许 。 唯 一 美中不足 的 是 ， 对 于 什么 是 主动 内 容 的 认定 ， 各 个 浏览 器 都 不 
相同 。 
口 Android 浏 览 器 
混合 内 容 没有 任何 限制 。 
口 Chrome 
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Chrome 在 版 本 14 中 修改 了 对 于 混合 主动 内 容 的 处 理 ," | 到 版 本 21 的 时 候 才 调整 完毕 ?。 
从 版 本 38 起 ，Chrome 将 会 阻止 所 有 的 混合 主动 内 容 。” 

口 Firefox 
Firefox 很 久之 前 就 可 以 对 混合 内 容 进行 检测 并 发 出 警告 , 但 是 由 于 内 部 实现 的 问题 , 没有 
办 法 来 进行 阻 断 。 这 个 bug 存 在 了 大 约 12 年 之 久 。 oe 2h Firefox 终 于 开始 对 所 有 的 
混合 主动 内 容 进行 阻 断 。” 

口 下 
正 浏 览 器 从 至 少 IE5 ( 1999 年 ) 开始 就 支持 混合 内 容 的 检测 。 当 下 浏览 器 检测 到 在 同一 个 
页 面 上 存在 加 密 和 明文 内 容 的 时 候 , 它 将 提示 用 户 来 决定 如 何 处 理 。Microsoft 有 一 次 几乎 
就 要 实施 对 不 安全 内 容 进行 默认 阻 断 〈 带 有 提示 消息 )， 而 且 在 IE7 beta 版 中 已 经 这 样 做 
了 ,“ 但 是 由 于 用 户 的 压力 最 终 没 有 采用 此 功能 。 他 们 后 来 在 IE9 的 时 候 才 引入 了 这 个 功 
能 。“ 与 此 同时 ， 他 们 也 开始 对 混合 被 动 内 容 采 取 了 默认 人 允许 的 行为 。 

口 Safari 
Safari 目 前 不 阻 断 任何 混合 内 容 , 这 使 得 它 与 其 他 主流 浏览 器 相 比 显得 区 别 很 大 。 实 际 上 ， 
对 于 混合 内 容 的 问题 ，Safari 还 存在 倒退 的 情况 。 在 OS X 的 Safari 6 中 ， 曾 经 存在 一 个 让 用 
户 来 选择 进行 混合 内 容 阻 断 的 选项 ， 但 是 这 个 选项 在 Safari 7 中 去 掉 了 。 

表 5-1 详 细 描 述 了 当今 主流 浏览 器 对 混合 内 容 的 处 理 方式 。 


表 5-1 ”主流 浏览 器 的 混合 内 容 处 理 方式 ，“ 是 ”表示 允许 混合 内 容 (2015 年 3 月 ) 

































































Images CSS Scripts XHR WebSockets Frames 
Android Browser 4.4.x 是 是 是 是 是 是 
Chrome 41 是 否 否 否 否 否 
Firefox 30 是 否 否 否 否 否 








QD Trying to end mixed scripting vulnerabilities, http://googleonlinesecurity.blogspot.co.uk/2011/06/trying-to-end-mixed- 
scripting.html ( Google Online Security blog，2011 年 6 月 16 日 )。 

@) Ending mixed scripting vulnerabilities ，http:/blog.chromium.org/2012/08/ending-mixed-scripting-vulnerabilities.html 
(Google Online Security blog，2012 年 8 月 3 日 )。 

@) PSA: Tightening Blink’s mixed content behavior, https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/ 
Uxzvrqb6IeU/9FAie9Py4cIJ ( Mike West，2014 年 6 月 30 日 )。 

@ Bug 62178: Implement mechanism to prevent sending insecure requests from a secure context, https://bugzilla.mozilla. 
org/show_bug.cgi?id=62178( Bugzilla@Mozilla， 报 告 于 2000 年 12 月 6 日 )。 

© Mixed Content Blocking Enabled in Firefox 23!, https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking- 
enabled-in-firefox-23/( Tanvi Vyas，2013 年 4 月 10 日 )。 

(OO SSL, TLS and a Little ActiveX: How IE7 Strikes a Balance Between Security and Compatibility, http://blogs.msdn.com/b/ 























ie/archive/2006/10/18/ssl-tls-amp-a-little-activex-how-ie7-strikes-a-balance-between-security-and-compatibility.aspx 
(Rob Franco，2006 年 10 月 18 日 )。 


© Internet Explorer 9 Security Part 4: Protecting Consumers from Malicious Mixed Content, http://blogs.msdn.com/ 


b/ie/archive/2011/06/23/internet-explorer-9-security-part-4-protecting-consumers-from-malicious-mixed-content.aspx 
(Eric Lawrence，2011 年 6 月 23 日 )。 
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( 续 ) 
Images CSS Scripts XHR WebSockets Frames 
Internet Explorer 11 是 否 否 否 否 否 
Safari 8 是 是 是 是 是 是 


如 果 你 对 你 喜爱 的 浏览 器 的 行为 感到 好 奇 ， SSL Labs 提 供 了 对 于 浏览 器 的 混合 内 容 问题 的 测 
试 "， 可 以 进行 参考 。 


混合 内 容 的 漏洞 可 能 隐藏 得 非常 深 。 在 很 多 现代 浏览 器 中 , 存在 着 很 多 方法 使 得 不 安 
全 的 HITP 请 求 从 安全 页 面 上 发 出 。 例 如 ， 浏 览 器 插件 可 以 发 出 任何 请 求 而 忽略 掉 窒 
主页 面 的 加 密 状 态 。 对 于 像 Flash 和 Java 这 类 插件 尤其 如 此 ， 因 为 它们 都 是 有 自己 权限 
的 平台 。 现 在 W3C 在 努力 来 推动 浏览 器 对 于 混合 内 容 处 理 的 标准 化 , 这 应 当 可 以 使 得 
所 有 产品 的 行为 变 得 一 致 。” 


5.8.4 混合 内 容 的 流行 程度 


说 来 有 趣 ， 混 合 内 容 非 常常 见 。2011 年 ， 我 们 在 Qualys 调 查 会 导致 Web 应 用 程序 加 密 被 完全 











破坏 的 应 用 层面 的 其 他 几 个 问题 时 ， 一 起 调查 了 混合 内 容 问题 。 我 们 分 析 了 来 自 Alexa 的 前 100 
万 网 站 名 单 中 的 约 250 000 个 网 站 的 首页 ， 发现 其 中 22.41% 的 网 站 含有 不 安全 内 容 。 如 果 不 算 图 
片 的 话 ， 那 么 比例 将 降低 到 18.71%。 

2013 年 ， 我 们 针对 Alexa 前 100 000 名 网 站 中 的 18 $26 个 网 站 展开 了 一 次 更 详细 的 研究 。? 对 于 
每 个 网 站 分 析 了 多 达 200 个 安全 页 面 ， 共 计 481 656 个 页 面 。 你 可 以 在 表 5-2 中 看 到 研究 的 结论 。 

















表 5-2 Alexa 排 名 前 100 000 名 的 网 站 中 的 481 656 个 安全 页 面 的 混合 内 容 问 题 (来 源 : Chen 等 ，2013 年 ) 

















引用 数量 远程 引用 比例 文件 数量 页 面 数 量 网 站 比例 
图 像 406 932 38% 138 959 45 417 30% 
Frame 25 362 90% 15 227 15 419 14% 
CSS 35 957 44% 6680 15 911 12% 
JavaScript 150 179 72% 29 952 45 059 26% 
Flash 1721 62% 638 1474 2% 
总 计 620 151 47% 191 456 74 946 43% 





QD SSL/TLS Capabilities of Your Browser, https:/www.ssllabs.com/ssltest/viewMyClient.html ( SSL Labs, 检索 于 2015 
年 3 月 22 日 )。 

© W3C: Mixed Content, https://w3c.github.io/webappsec/specs/mixedcontent/ ( Mike West， 检 索 于 2015 年 6 月 14 日 )。 

A study of what really breaks SSL, http://blog.ivanristic.com/2011/05/a-study-of-what-really-breaks-ssl.html ( Michael 
Small 和 Ivan RistiE，2011 年 5 月 )。 

由 A Dangerous Mix: Large-scale analysis of mixed-content websites, http:/www.securitee.org/files/mixedinc isc2013.pdf 
(Chen 等 ，Information Security Conference，2013 年 )。 








注意 

即使 所 有 的 第 三 方 链 接 都 是 加 密 的 , 也 仍然 存在 使 用 其 他 网 站 的 主动 内 容 可 能 会 
些 网 站 获取 控制 的 问题 。 当 下 太 多 的 网 站 包含 任意 的 控件 ， 而 却 从 来 不 会 从 安全 影响 
的 角度 进行 思考 。"” 


5.8.5 缓解 方法 


好 消息 是 , 尽管 浏览 器 对 于 混合 内 容 问 题 的 态度 是 松懈 的 , 但 是 你 可 以 自己 完全 解决 这 个 问 
题 。 如 果 你 将 你 的 网 站 实现 得 正确 ， 就 不 会 受到 威胁 。 当 然 ， 说 起 来 容易 做 起 来 难 ， 尤 其 是 对 于 
大 型 的 网 站 。 
有 两 种 技术 可 以 使 你 最 小 化 甚至 是 彻底 消除 混合 内 容 问题 , 即使 对 于 不 正确 实现 的 网 站 来 说 
也 是 如 此 。 
口 HITP 严 格 传输 安全 
HSTS 是 一 种 强制 浏览 器 获取 安全 资源 的 机 制 ， 即 使 在 面 对 用 户 错误 ( 例如 尝试 通过 80 端 
口 访问 你 的 网 站 ) 以 及 实现 错误 (例如 你 的 网 站 开发 人 员 在 安全 页 面 上 放 了 一 个 不 安全 
链接 ) 也 依然 有 效 。 这 个 特性 有 效 消除 了 混合 内 容 的 问题 ,但 是 它 只 能 在 你 能 控制 的 域 
名 下 工作 。 “最近 有 个 说 法 称 要 改变 这 个 特性 : 将 来 只 要 在 一 个 页 面 上 运用 HSTS, 所 有 的 
混合 内 容 都 会 被 消除 ， 哪 怕 它 存在 于 第 三 方 的 托管 域名 中 。 
口 内 容 安 全 策略 
为 了 阻 断 从 第 三 方 网 站 获取 到 的 不 安全 资源 ， 可 以 使 用 内 容 安全 策略 ( content security 
policy，CSP )。 这 个 安全 特性 可 以 对 不 安全 资源 进行 阻 断 。 它 同时 还 有 很 多 其 他 有 用 的 特 
性 来 处 理应 用 层 安 全 问题 。 
HSTS 和 CSP 都 是 声明 式 的 方法 , 也 就 是 说 它们 可 以 在 web 服务 器 层面 进行 添加 而 不 需要 对 应 
用 进行 修改 。 从 某 种 角度 来 说 ， 你 可 以 将 它们 看 作 安 全 网 ， 因 为 它们 可 以 对 没有 正确 实现 的 网 站 
强制 采取 安全 措施 。 
例如 ， 安 全 网 站 上 一 个 常见 的 问题 来 自 于 这 样 一 个 事实 : 很 多 网 站 都 实现 了 80 端 口 到 443 端 
口 的 自动 跳 转 。 这 是 合理 的 ,因为 如 果 某 些 用 户 确实 访问 了 你 的 网 站 的 明文 部 分 ,你 会 希望 将 他 
们 送 到 正确 (安全 ) 的 地 方 。 然 而 ， 因 为 重 定向 是 自动 的 ， 因 此 不 可 见 ， 例 如 一 个 图 片 的 明文 链 
接 被 重 定 向 到 安全 的 链接 , 浏览 器 会 在 用 户 感 知 不 到 的 情况 下 自动 获取 这 个 图 片 , 然而 攻击 者 可 
能 会 了 解 到 这 个 行为 。 对 于 这 个 原因 ,可 以 考虑 一 直 重 定向 到 安全 网 站 的 同一 个 人 口 ， 如 果 你 这 
么 做 了 ， 在 引用 资源 上 的 任何 错误 ， 将 会 被 发 现 并 且 在 开发 阶段 就 得 到 解决 。 
当然 ,使 用 了 HSTS 的 网 站 无 法 被 利用 进行 攻击 ， 因 为 浏览 器 自动 对 不 安全 链接 进行 了 安全 



































































































































QD You Are What You Include: Large-scale Evaluation of Remote JavaScript Inclusions, https://lirias.kuleuven.be/bitstream/ 
123456789/354587/1/fp028-nikiforakis.pdf ( Nikiforakis 等 ，Computer and Communications Security，2012 年 )。 

© Block Mixed Content for HSTS domains, https://groups.google.com/forum/#!msg/mozilla.dev.security/rR3SBOFvUqM/ 
GtFai0Zt1TcJ ( mozilla.dev.security 讨 论 主题 ，2015 年 2 月 17 日 )。 
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替换 。 但 是 ， 从 另外 一 个 角度 看 ， 当 前 还 不 能 完全 寄 希 望 于 所 有 浏览 器 都 支持 HSTS ， 所 以 最 好 
的 办 法 就 是 减少 这 类 混合 内 容 的 错误 。 


5.9 扩展 验证 证 书 


扩展 验证 ( extended validation，EV ) 证 书 是 证 书 的 一 个 特殊 分 类 ， 它 将 一 个 域名 与 一 个 合 
法 实体 进行 了 关联 (个 人 无 法 申请 EV 证 书 )。 在 SSL 的 早期 ， 所 有 证 书 都 是 经 过 严格 验证 再 签发 
的 ， 这 与 今天 的 EV 证 书 很 类 似 。 证 书 的 价格 战 导 致 了 域名 验证 ( domain-validated，DYV ) 证 书 的 
广泛 使 用 ，DV 证 书 主要 依赖 廉价 的 电子 邮件 验证 。 这 种 情况 是 可 能 发 生 的 ， 这 是 因为 业界 并 没 
有 针对 证 书 验 证 流程 的 正式 规则 。EV 证 书 在 2007 年 由 CAB 论 坛 所 定义 。?” 

EV 证 书 有 两 个 主要 优势 : (1) 域名 持 有 者 的 身份 是 已 知 的 , 并 且 被 写 人 证 书 中 ; (2) 人 工 验 证 
方式 使 得 证 书 的 伪造 变 得 困难 。 据 我 所 知 ， 还 从 来 没有 一 个 假 的 EV 证 书 出 现 。 

不 过 ， 上 述 这 些 优势 在 实际 中 是 否 有 意义 ， 则 是 一 个 问号 ， 至少 在 考虑 到 整体 的 用 户 数量 方 
面 来 看 是 这 样 的 。 就 像 本 章 前 面 的 小 节 所 讲 ， 用 户 很 少 注意 到 安全 指示 标志 ， 即 使 EV 证 书 的 标 
志 如 此 显著 的 情况 下 也 是 如 此 。 因 此 , 最终 用 户 将 错过 对 域名 持 有 者 合法 性 的 了 解 。 此 外 ,伪造 
的 DV 证 书 也 可 以 用 来 对 EV 网 站 进行 攻击 。 解 决 问题 的 唯一 方法 是 让 最 终 用 户 理解 EV 证 书 的 含 
义 ， 并 记 住 使 用 EV 证 书 的 网 站 ， 然 后 注意 到 安全 指示 标志 的 缺失 并 最 终 决 定 不 再 继续 访问 。 这 
看 起 来 很 不 现实 ， 因 为 很 多 用 户 即 使 在 看 到 明显 的 证 书 警告 的 情况 下 也 会 继续 访问 网 站 。 

对 待 EV 证 书 的 方法 在 未 来 仍 可 能 会 进行 改进 。 例 如 ， 客 户 端 可 能 会 让 网 站 只 获取 EV 证 书 ， 
就 像 现 在 你 总 是 可 以 使 用 HSTS 进 行 加 密 一 样 。 
另外 的 一 个 问题 是 ，EV 证 书 只 在 页 面 层面 被 检测 到 并 显示 出 来 ， 而 对 于 资源 所 使 用 的 证 书 
类 型 则 没有 进行 处 理 ( 例如 脚本 )。 基 于 EV 证 书 的 高 成 本 ， 网 站 经 常 在 大 量 不 可 见 的 二 级 域名 上 
使 用 DV 证 书 的 情况 ， 也 是 很 常见 的 。” 

这 意味 着 一 个 细心 的 网 络 攻击 者 可 以 使 用 DV 证 书 来 攻击 EV 网 站 ， 而 不 会 破坏 掉 绿 色 的 安全 
指示 标志 。Zusman 和 Sotirov 演 示 了 一 些 有 趣 的 攻击 向 量 。” 

口 其 他 域名 的 资源 

在 很 多 情况 下 , 网 站 会 对 主 域名 使 用 EV 证 书 , 但 从 其 他 很 多 使 用 DV 证 书 的 域名 上 获取 资 
源 。 浏 览 器 和 这 些 使 用 DV 证 书 的 连接 可 能 会 被 攻击 者 使 用 伪造 的 DV 证 书 拦截 , 从 而 进行 
恶意 注入 。 
口 Cookie 人 和 穷 取 
因为 浏览 咒 不 强制 证 书 的 连续 性 ， 使 用 一 个 DV 证 书 来 拦截 主 域名 的 连接 是 可 能 的 ， 穷 取 




























































































































































































QD EV SSL Certificate Guidelines ，https://cabforum.org/extended-validation/( CAB 论 坛 ， 检 索 于 2014 年 7 月 15 日 )。 

© Beware of Finer-Grained Origins, http://seclab.stanford.edu/websec/origins/fgo.pdf ( Jackson 和 Barth，Web 2.0 Security 
and Privacy，2008 年 )。 

@ Sub-Prime PKI: Attacking Extended Validation SSL , http:/www.blackhat.com/presentations/bh-usa-09/SOTIROV/ 
BHUSA09-Sotirov-AttackExtSSL-PAPER.pdf ( Zusman 和 Sotirov，Black Hat USA，2009 年 )。 
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现 有 Cookie 或 者 设置 新 的 Cookie, 之 后 再 重 定向 回 真实 服务 器 。 这 种 攻击 进行 得 很 快 ， 
此 多 数 用 户 都 无 法 察觉 。 

口 持续 恶意 注入 
如 果 使 用 了 缓存 (本质 上 攻击 者 可 以 通告 资源 不 过 期 )， 注 入 的 恶意 代码 可 以 持续 地 保存 
在 浏览 器 的 缓存 中 ， 并 在 相当 长 的 时 间 内 起 作用 ， 即 使 在 后 续 对 网 站 的 访问 上 也 是 如 此 。 


5.10 ”证书 吊销 
对 于 证 书 的 有 效 期 , 在 两 方面 存在 着 矛盾 , 那 就 是 人 们 上 既 希 望 减少 管理 的 成 本 又 需要 证 书 可 


以 提供 更 多 的 更 新 信息 。 理论 上 来 讲 ,， 在 被 认为 可 信之 前 ,每 张 证 书 都 需要 检查 吊销 信息 。 但 是 
在 实际 中 ， 存 在 着 大 量 的 问题 使 得 证 书 吊销 变 得 很 困难 。 


5.10.1 客户 端 支持 不 足 


可 以 这 样 阅 , 对 于 证 书 吊销 的 最 大 问题 在 于 客户 端的 文 持 不 足 。 你 要 么 根本 不 需要 证 书 吊销 ， 
要 人 么 严重 依赖 它 ， 这 使 得 情况 变 得 更 加 糟糕 。 因 为 这 样 一 来 ， 总 是 可 以 “推迟 ”对 它 的 处 理 。 

我 们 很 难 了 解 到 浏览 需 在 处 理 吊销 的 时 候 做 了 哪些 事情 , 包括 什么 时 候 检查 吊销 以 及 如 何 检 
查 。 因 为 没有 文档 ， 只 能 依赖 挖掘 邮件 列表 、bug 报 告 以 及 阅读 源 代码 来 理解 究竟 发 生 了 什么 。 
例如 ,有 轶 事 证 据 表明 浏览 絮 不 会 对 中 间 证 书 进行 吊销 检查 。 在 很 长 的 时 间 里 , 我们 并 不 清楚 很 
多 浏览 器 并 不 使 用 CRL (证 书 吊销 列 表 )。 对 于 新 特性 ( 例如 OCSP stapling ) 的 支持 也 是 缓慢 的 。 
总 结 起 来 ,这 个 领域 就 是 一 个 大 黑 盒 。 通过 测试 也 许可 以 得 到 一 些 答案 , 但 是 这 只 在 某 个 时 间 点 
有 效 ， 对 于 某 个 产品 的 下 个 版 本 是 否 还 是 会 有 相同 的 行为 则 无 法 保证 。 

除了 浏览 器 之 外 , 命令 行 工具 仍然 深 陷 证 书 验证 的 泥潭 ， 更 无 暇 估计 吊销 的 问题 。 并 且 因 为 
大 多 数 的 SSL 库 默认 不 使 用 吊销 检查 ， 开 发 人 员 一 般 也 就 不 会 关心 它 了 。 

最 后 总 结 起 来 ， 就 是 由 于 这 样 或 那样 的 原因 ， 证 书 吊销 没有 起 到 应 起 的 作用 。 

这 种 情况 在 2011 年 变 得 异常 明显 ， 当 时 有 几 个 CA 遭 到 入 侵 。 在 每 个 案例 中 ， 唯 一 有 效 的 吊 
销 其 诈 证 书 的 方法 就 是 使 用 黑 名 单 ， 但 不 是 通过 CRIL 或 者 OCSP。 相 反 ， 所 有 的 浏览 器 厂商 通过 
发 布 补丁 版 本 来 解决 问题 ， 这 些 版 本 中 包含 对 于 欺诈 证 书 的 硬 编码 信息 。Chrome 、Firefox 和 
Microsoft 使 用 了 特殊 的 机 制 来 向 浏览 器 推送 证 书 黑 名 单 ， 而 不 需要 用 户 进 行 软件 升级 。 


5.10.2 ”吊销 检查 标准 的 主要 问题 


从 高 层次 来 看 ，CRL 和 OCSP 两 者 均 存在 设计 上 的 缺陷 ， 这 使 得 它们 的 用 处 变 得 不 大 。 这 里 
主要 有 以 下 三 个 问题 。 
口 证 书 与 查询 之 间 不 关联 
CRL 和 OCSP 基 于 序列 号 来 查找 证 书 , 这 些 序列 号 就 是 CA 随意 分 配 的 一 些 数 字 。 这 很 不 幸 ， 
因为 你 无 法 确保 你 查询 的 证 书 就 是 CA 所 查询 的 证 书 。 这 种 情况 可 以 在 CA 遭受 攻击 之 后 被 
利用 来 创建 伪造 的 证 书 ， 并 让 此 伪造 的 证 书包 含 一 个 现 有 的 有 效 证 书 的 序列 号 。 
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5.10 


口 黑 名 单 而 不 是 白 名 单 




















从 定义 上 来 讲 ，CRL 是 一 个 黑 名 单 ， 不 能 是 其 他 东西 。 诞 生 于 CRL 之 后 的 OCSP， 在 CRL 
框架 之 上 被 设计 出 来 ， 目 的 是 更 加 容易 使 用 。 早 些 年 ，OCSP 响 应 程序 通过 添加 CRL 中 存 
在 的 信息 来 进行 工作 。 这 错失 了 一 次 从 黑 名 单 切换 到 白 名 单 的 机 会 ， 包 括 检查 证 书 是 否 
有 效 ， 而 不 仅仅 是 检查 是 否 吊销 。 

对 于 黑 名 单 的 关注 最 终 引 起 反响 的 是 将 “ 0 未 吊销 ”这 一 实践 ， 
即使 在 服务 需 并 不 知道 序列 号 问题 的 情况 下 。 在 2013 年 8 月 ，CAB 论 坛 禁止 了 这 一 实践 。 
这 听 起 来 有 一 些 区 别 , 但 是 rt ee 一 个 真正 
的 问题 。 因 为 这 个 CA 被 完全 攻破 了 ， 没有 任何 关于 哪些 欺诈 证 书 被 签发 了 的 记录 。 这 样 
一 来 , 这 个 CA 的 证 书 无 法 被 单独 吊销 。 虽 然 最 终 DigiNotar 的 根 证 书 被 所 有 的 浏览 器 移 除 ， 
作为 一 种 短期 的 处 理 方法 ， 他 们 的 OCSP 响 应 程序 被 配置 成 了 向 所 有 他 们 的 证 书 返回 “已 
吊销 ”。 



























































口 隐私 

















CRL 和 OCSP 都 遭受 到 隐私 问题 的 困扰 : 当 你 向 一 个 CA 获取 吊销 信息 的 时 候 , 你 向 它 暴 露 
了 关于 你 的 浏览 习惯 的 一 些 信息 。 在 CRL 情 况 下 泄露 信息 的 可 能 性 比较 小 , 因为 CRL 通 常 
都 含有 大 量 的 证 书 。 

对 于 OCSP， 隐 私 问 题 是 真实 存在 的 ， 导 致 了 很 多 其 他 的 问题 。 如 果 一 个 强 有 力 的 攻击 者 
希望 观察 所 有 人 的 浏览 习惯 ， 将 很 容易 地 通过 对 一 些 或 者 几 个 主流 的 OCSP 响 应 程序 的 观 
察 来 实现 ， 而 不 需要 窃听 整个 世界 的 真正 流量 。 

为 了 解决 这 个 问题 , 网 站 应 该 部 署 OCSP stapling, 这 是 一 种 让 网 站 可 以 响应 OCSP 的 机 制 。 
使 用 这 种 方法 ， 用 户 不 再 需要 与 CA 交互 ， 也 就 没有 了 信息 的 泄露 。 






























































.3 ”证书 吊销 列表 





























在 开始 的 时 候 , 证 书 吊 销 列表 (certificate revocation list，CRL ) 是 唯一 用 于 吊销 检查 的 机 制 。 

















其 原理 
客户 端 应 该 在 信任 一 个 证 书 之 前 来 查询 正确 的 吊销 列表 。 这 个 方法 被 证 明 是 难以 扩展 的 , 最 终 导 
致 了 可 以 进行 实时 检查 的 OCSP 的 诞生 。 


1. 








HE 


是 ， 每 个 CA 都 制作 一 个 吊销 了 的 证 书 列表 ， 这 列表 被 允许 从 CA 证 书 中 的 指定 位 置 下 载 。 























CRL 大 小 的 问题 





起 初 , 在 被 作废 的 证 书 数量 比较 少 的 时 候 ，CRL 看 起 来 是 有 效 的 。 但 是 当 被 吊销 的 证 书 的 数 


变 得 非常 巨大 的 时 候 ，CRE 的 大 小 也 会 和 
人 




















根据 Netcraft 提 供 的 数据 ， 他 们 跟踪 了 全 世界 范围 的 220 个 CRL， 并 发 现 其 中 很 多 的 体积 都 很 








中 NIST Workshop: Improving Trust in the Online Marketplace, http://csrc.nist.gov/groups/ST/ca-workshop-2013/presentations/ 


Koski_ca-workshop2013.pdf ( Ryan Koski，2013 年 4 月 10 日 )。 
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大 。" 其 中 最 大 的 是 CAcert 的 CRL ( CAcert 目 前 不 被 很 多 浏览 器 信任 ), 它 的 大 小 在 6 MB 左右 。 之 
后 是 几 个 大 的 列表 ， 再 之 后 是 按照 大 小 降序 排列 的 一 个 很 长 的 CRL。 作 为 说 明 ， 表 5-3 是 一 个 最 
大 的 CRL。 























表 5-3 ”前 10 大 CRL (来 源 : Netcraft，2014 年 3 月 13 日 ) 








CRE 大 小 《以 KB 为 单位 ) 
CAcert 6219 
TrustCenter (Symantec) 1583 
Entrust 1460 
VeriSign 1 (Symantec) 1346 
VeriSign 2 (Symantec) 744 
Comodo 1 450 
Comodo 2 366 
Thawte (Symantec) 346 
GoDaddy 320 
Comodo 3 314 


GoDaddy 的 41 MB 的 CRL 没 有 在 表 5-3 中 ， 是 因为 他 们 将 CRL 分 成 了 很 多 小 的 列表 。 其 他 的 大 
型 CA 也 会 使 用 多 列表 ,这 使 得 CRL 的 大 小 问题 变 得 不 太 透 明 : 如 果 你 是 一 个 活跃 的 互联 网 用 户 ， 
可 能 需要 很 多 个 CRL, 这 意味 着 你 将 持续 性 地 下 载 大 量 的 数据 。 如 果 这 对 于 桌面 用 户 来 说 不 是 一 
个 问题 的 话 , 那 显然 对 于 移动 用 户 则 是 不 可 接受 的 。 即 使 你 不 担心 流量 的 消耗 ，CPU 对 如 此 大 量 
的 文件 的 处 理 也 会 消耗 相当 的 电力 。 


注意 

CRL 大 小 的 问题 可 以 通过 使 用 增 量 CRL 的 方式 来 解决 , 这 种 方式 每 次 只 需要 获取 前 一 
个 版 本 的 差异 。 然 而 ， 这 个 特性 虽然 在 所 有 的 Windows 平 台 上 都 支持 ， 但 是 在 互联 网 
PKI 体 系 中 却 很 少 使 用 。 


2. 客户 端 对 CRL 的 支持 

CRL 在 客户 端 从 来 没有 得 到 过 很 好 的 支持 。 今 天 ， 这 个 问题 尤其 可 怕 。 

口 Chrome 默 认 不 检查 CRL， 但 是 对 于 EV 证 书 ， 如 果 CRLSet ( Chrome 私 有 的 证 书 吊销 检测 

方法 ) 设置 了 并 且 OCSP 没 有 提供 满意 答案 的 时 候 ， 会 使 用 CRL。 

D Firefox 从 来 不 对 非 EV 证 书 检查 CRL。 它 有 一 种 机 制 ， 可 以 让 用 户 手 动 配 置 CRL， 在 配置 
之 后 ，Firefox 会 以 固定 的 时 间 间 隔 来 下 载 CRL。 但 是 这 个 功能 在 Firefox 24 中 被 移 除了 。” 
到 了 Firefox 28，Firefox 再 也 没有 检查 CRL 的 功能 ， 即 使 是 EV 证 书 也 是 如 此 。” 


























































































































QD CRLs tracked by Netcraft, http://uptime.netcraft.com/perf/reports/performance/CRL( Netcraft, 检索 于 2014 年 7 月 15 日 )。 

©® No CRL UI as of Firefox 24, https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/ilOoDiCU4JM/-iAB 
ltbxlWJIJ (Kathleen Wilson，2013 年 8 月 )。 

@) As of Firefox 28, Firefox will not fetch CRLs during EV certificate validation, https://groups.google.com/forum/#!topic/ 
mozilla.dev.security.policy/85MV81ch2Zo ( Brian Smith，2013 年 12 月 13 日 )。 
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口 IE 浏 览 器 ( 以 及 所 有 依赖 于 Windows API 的 其 他 应 用 程序 ) 对 于 CRL 是 完全 支持 的 ， 如 果 
在 没有 其 他 更 好 的 吊销 信息 的 情况 下 ， 它 们 会 下 载 并 使 用 CRL。 
口 Safari 会 检查 吊销 信息 , 并 会 使 用 所 有 可 用 的 手段 , 但 是 它 会 忽略 掉 错误 ,在 我 的 OS X 10.9 
笔记 本 上 ，OCSP 和 CRL 都 被 设置 成 “最 佳 尝试 "。 互 联网 上 有 很 多 研究 报告 ( 大 多 是 在 
2011 年 , 在 Comodo 和 DigiNotar 被 攻击 的 前 后 ) 提出 这 些 功 能 在 之 前 都 是 默认 “关闭 ”的 。 

3. CRL 的 更 新 程度 

CRL 的 大 小 不 是 唯一 的 问题 。 较 长 的 验证 周期 造成 了 一 个 严重 的 问题 并 减弱 了 CRL 的 有 效 
性 。 例 如 ， 在 2013 年 5 月 ，Netcraft 报 告 了 一 个 已 经 被 吊销 的 中 间 证 书 仍然 在 悄 无 声息 地 被 一 个 主 
流 网 站 使 用 。” 

有 问题 的 证 书 不 包含 OCSP 信 息 ， 但 是 它 的 CRL 信 息 是 正确 的 。 为 什么 会 出 问题 ? 一 部 分 原 
因 是 因为 没有 客户 端 对 中 间 证 书 进行 CRL 检 查 ， 这 也 反映 出 了 对 CRL 支 持 的 糟糕 状态 。 然 而 ， 即 
使 假设 浏览 器 正确 使 用 了 CRL ( 例如 IE 浏 览 器 ), 但 是 CA 圈 内 允许 中 间 证 书 存在 很 长 的 不 合理 验 
证 周期 也 依然 是 一 个 问题 。 下 面 是 从 基准 需求 中 引用 的 相关 部 分 。” 

在 至 少 (D) 每 12 个 月 (iD 在 吊销 一 个 从 属 证 书 的 24 小 时 之 内 ，CA 应 当 更 新 并 重新 签发 

CRL， 并 且 nextUpdate 字 段 的 值 禁止 超过 thisUpdate 字 段 的 值 12 个 月 …… 

因此 , 中间 证 书 的 CRL 会 被 当成 在 12 个 月 之 内 是 有 效 的, 然而 一 个 严重 的 吊销 可 能 随时 发 生 
在 一 年 中 的 任何 一 天 。 允许 如 此 长 的 周期 可 能 是 为 了 满足 尽 可 能 长 的 缓存 CRL 的 目的 ， 因为 中 间 
证 书 经 常 被 上 百 万 的 网 站 使 用 。 此 外 ，CRL 是 被 根 证 书 的 私 钥 签名 的 ， 这 个 私 钥 是 放 在 线 下 以 确 
保安 全 的 , 频繁 重新 签发 CRL 可 能 会 影响 其 安全 性 。CRL 的 长 更 新 周期 同样 对 吊销 的 有 效 性 存在 
负面 影响 。 这 对 于 中 间 证 书 来 说 尤其 明显 ， 如 果 泄 露 ， 中 间 证 书 可 能 用 来 伪装 任何 网 站 。 作 为 对 
比 ， 服 务 器 证 书 CRL 的 更 新 周期 最 长 为 10 天 。 


5.10.4 ”在 线 证 书 状态 协议 


在 线 证 书 状态 协议 (online certificate status protocol，OCSP ) 在 CRL 之 后 诞生 ， 用 来 提供 实 
时 的 证 书 吊 销 信息 查询 功能 。OCSP 的 出 现 使 得 在 不 下 载 很 大 CRL 的 情况 下 ， 就 可 以 为 每 次 网 站 
访问 提供 证 书 状态 查询 。 

1. OCSP 重 放 攻 击 

在 密码 学 中 ， 有 一 个 众所周知 的 针对 安全 通信 的 攻击 叫 作 重 放 攻 击 (replay attack )， 这 种 攻 
击 是 指 攻击 者 会 捕获 并 利用 正确 的 请 求 ， 并 很 可 能 是 用 在 不 同 的 上 下 文中 。OCSP 按 照 其 最 初 设 
计 ”, 是 不 会 受到 重 放 攻 击 的 威胁 的 , 客户 端 会 被 要 求 在 每 次 请 求 的 时 候 提交 一 个 一 次 性 的 nonce， 



























































































































































































































































GD How certificate revocation (doesn’t) work in practice, http://news.netcraft.com/archives/2013/05/13/how-certificate-revocation- 
doesnt-work-in-practice.html ( Netcraft，2013 年 5 月 13 日 )。 

© Baseline Requirements ，https:/cabforum.org/baseline-requirements/ (CAB 论坛 ， 检 索 于 2014 年 7 月 13 日 )。 

@@ RFC 6960: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP, https://tools.ietf.org/html/ 
rfc6960 ( S. Santesson 等 ，2013 年 6 月 )。 











5.10 证书 吊销 。 123 





服务 器 会 在 它们 签名 过 的 响应 中 携带 同样 的 值 。 攻击 者 无 法 重 放 响 应 ,因为 每 次 的 nonce 都 不 同 。 

这 个 默认 安全 的 方法 由 于 很 难 推广 而 终结 , 在 某 种 意义 上 , 这 给 了 另外 一 种 轻 量 级 、 不 是 那 
么 安全 、 却 很 容易 在 大 容量 系统 中 使 用 的 方法 提供 了 推广 的 机 会 。 轻 量 级 OCSP 模 式 ( lightweight 
OCSP profile ) "中 引入 了 一 系列 关于 人 允许 批量 生成 和 缓存 OCSP 响 应 的 建议 。 为 了 支持 缓存 ， 重 
放 攻 击 的 保护 手段 需要 去 除 。 在 没有 nonce 的 情况 下 ， 一 个 OCSP 响 应 就 是 一 个 可 随意 生成 、 保 存 
并 使 用 CDN 交 付 的 普通 文件 。 

这 样 一 来 ， 客 户 端 就 不 需要 在 请 求 中 使 用 nonce。 如 果 客 户 端 使 用 了 nonce ( 你 可 以 使 用 
OpenSSL 的 命令 行 客户 端 来 模拟 这 种 情况 )， 服 务 器 通常 会 包 略 掉 它 们 。 因 此 ， 对 重 放 攻 击 的 叭 
一 防御 手段 就 是 内 在 的 时 间 限 制 : 攻击 者 只 能 在 OCSP 还 没有 过 期 的 时 候 使 用 它们 。 这 个 机 会 窗口 
将 依赖 CA 和 具体 的 证 书 类 型 (例如 ，EV 证 书 的 响应 会 有 较 短 的 生存 周期 , 但 是 DV 证 书 的 响应 生 
存 周期 则 要 长 得 多 ), 但 是 这 区 别 很 大 , 从 几 小 时 到 数 天 。 有 效 期 达到 一 周 的 OCSP 响 应 不 是 很 常见 。 

就 像 CRL 的 情况 一 样 ， 基 准 需求 允许 OCSP 响 应 的 最 大 有 效 期 为 10 天 ， 对 于 中 间 证 书 是 12 
个 月 。 


2. OCSP 响 应 压制 

OCSP 响 应 压制 (OCSP response suppression ) 攻击 是 基于 大 部 分 使 用 OCSP 的 浏览 器 都 会 
忽略 掉 失 败 这 种 情况 而 展开 攻击 的 。 这 些 浏览 器 诚心 诚意 地 提交 OCSP 请 求 ， 但 是 当 出 错 的 时 
候 则 会 继续 前 进而 忽略 掉 错 误 。 因 此 ， 一 个 主动 攻击 者 可 以 压制 吊销 检查 ， 这 可 以 通过 阻 断 所 
有 OCSP 请 求 来 实现 。 最 简单 的 方法 ， 就 是 阻 断 掉 所 有 与 OCSP 响 应 程序 之 间 的 连接 。 也 可 以 伪 
装 成 OCSP 响 应 程序 并 返回 HTTP 错 误 。 Adam Langley 对 此 进行 过 尝试 , 并 得 出 “吊销 证 书 没 用 ” 
的 结论 。” 

在 Adam 的 实验 之 前 ，Moxie Marlinspike 在 2009 年 发 现 了 一 个 OCSP 协 议 的 缺陷 ， 该 缺陷 允许 
不 使 用 网 络 错误 来 达到 压制 OCSP 响 应 的 目的 。 在 OCSP 中 ， 成 功 的 OCSP 响 应 是 进行 了 数字 签名 
的 ， 这 意味 着 即使 是 主动 攻击 者 也 无 法 算 改 内 容 。 然 而 ，OCSP 中 存在 着 几 种 未 经 验证 的 、 与 错 
误 处 理 相关 的 响应 类 型 。 如果 你 的 全 部 需求 就 是 制造 一 个 响应 失败 ,可 以 简单 地 返回 一 个 未 经 验 
证 的 错误 代码 。” 

3. 客户 端 OCSP 支 持 

在 很 多 场景 下 ,完全 没有 必要 对 OCSP 展 开 攻 击 ， 因 为 客户 端 会 完全 忽略 OCSP。 老 的 平台 和 
浏览 器 不 使 用 或 者 不 默认 使 用 OCSP。 例 如 Windows XP 和 10.7 之 前 版 本 的 OS X 就 是 属于 这 种 。 

然而 , 更 重要 的 是 一 些 现代 浏览 器 主动 选择 了 不 使 用 OCSP, 例 如 ,iOS 仅 对 EV 证 书 使 用 OCSP 









































































































































































































































QD RFC 5019: The Lightweight OCSP Profile for High-Volume Environments, http://tools.ietf.org/html/rfc5019 ( A. Deacon 
和 R. Hurst，2007 年 9 月 )。 

© Revocation doesn’t work, https:/www.imperialviolet.org/2011/03/18/revocation.html( Adam Langley, 2011 年 3 月 18 日 )。 

@) Defeating OCSP With The Character ‘3’ , http://www.thoughtcrime.org/papers/ocsp-attack.pdf( Moxie Marlinspike, 2009 
年 7 月 29 日 )。 
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( CRL 也 可 能 如 此 )。"Chrome 在 2012 年 停止 使 用 OCSP2 ， 并 将 所 有 标准 的 证 书 吊销 检测 方法 替换 
成 了 一 种 名 为 CRLSet 的 轻 量 级 私有 机 制 ?。CRLSet 提 高 了 吊销 检查 的 性 能 ( 所 有 检测 都 是 在 本 地 ， 
因此 很 快 )， 但 是 降低 了 安全 性 ， 因 为 它们 只 覆盖 了 所 有 吊销 信息 的 一 个 子 集 ， 该 子 集 主 要 是 CA 
的 证 书 。 私 有 CA 是 特别 有 害 的 ， 因 为 没有 办 法 将 它们 包含 在 CRLSet 中 。 在 Chrome 的 最 近 几 个 版 
本 中 ， 仪 会 对 EV 证 书 尝试 OCSP 吊 销 检 查 ， 并 且 仅 仅 在 CRLSet 没 有 和 覆盖 到 签发 CA 的 情况 下 才 会 
尝试 。 

在 2015 年 3 月 ，Mozilla 引 入 了 OneCRL”, 这 是 一 种 针对 中 间 证 书 ( 并 可 能 包括 少量 分 支 证 书 ) 
进行 吊销 检查 的 私有 机 制 。 关 于 OneCRL 的 进一步 信息 ， 可 以 参考 Mozilla 的 wiki。® 

即使 在 使 用 了 OCSP 的 情况 下 , 几乎 所 有 的 浏览 器 都 采用 了 软 失败 ( soft-fail )。 它们 发 出 OCSP 
请 求 并 且 对 成 功 的 OCSP 响 应 作出 正确 的 处 理 ， 却 忽略 掉 所 有 的 错误 。 在 实际 中 ， 这 只 会 保护 一 
小 部 分 场景 。 就 像 你 之 前 看 到 的 那样 ,， 软 失败 的 处 理 方法 无 法 防御 主动 攻击 者 通过 阻 断 连 接 来 进 
行 攻击 。 

一 般 来 说 ， 关 于 吊销 检查 失败 最 坏 的 结果 就 是 一 个 EV 网 站 将 失去 它 的 安全 状态 ， 使 得 所 有 
的 EV 指示 标志 从 浏览 器 的 用 户 界 面 上 消失 。 我 不 确定 是 否 真 的 有 人 会 注意 到 这 个 情况 。 即 使 注 
意 到 了 ， 他 们 又 将 如 何 应 对 呢 ? 

4. 响应 程序 的 可 用 性 和 性 能 

从 始 至 终 ，OCSP 都 存在 不 太 可 靠 的 这 种 名 声 。 早 期 的 问题 使 得 浏览 器 采用 了 软 失败 的 处 理 
方法 , 并 且 OCSP 从 没 被 恢复 。 当 今 CA 已 经 把 他 们 的 响应 程序 实现 得 足够 稳定 ,但 是 浏览 器 依然 
拒绝 使 用 硬 失 败 的 方式 来 赌 上 他 们 的 名 声 。 



























































































































































注意 
| 多 亏 了 Netcraft， 我 们 才能 了 解 到 多 个 CA 的 OCSP 响 应 程序 的 性 能 。™ 


这 里 有 以 下 三 个 需要 独立 考虑 的 问题 。 
口 可 用 性 

OCSP 响 应 程序 的 可 用 性 是 最 大 的 问题 。 如 果 你 正在 运行 一 个 安全 网 站 , 此 时 你 的 CA 响应 
程序 出 现 了 故障 ， 你 的 网 站 也 会 受到 牵连 。 如 果 浏 览 器 实现 了 硬 失败 ， 那 么 你 的 网 站 将 














QD CRL and OCSP behavior of iOS / Security.Framework , http://stackoverflow.com/questions/5625642/crl-and-ocsp-behavior- 
of-ios-security-framework ( Stack Overflow， 回 答 于 2012 年 3 月 2 日 )。 

© Revocation checking and Chrome’s CRL, https://www.imperialviolet.org/2012/02/05/crlsets.html ( Adam Langley, 2012 

年 2 月 5 日 )。 

G) CRLSet, http://dev.chromium.org/Home/chromium-security/crlsets ( Chromium Wiki, 检索 于 2014 年 7 月 15 日 )。 

由 Revoking Intermediate Certificates: Introducing OneCRL, https://blog.mozilla.org/security/2015/03/03/revokinginterme- 
diate-certificates-introducing-onecrl/( Mozilla Security Blog，2015 年 3 月 3 日 )。 

© CA: Revocation Plan ，https:/wiki.mozilla.org/CA:RevocationPlan ( Mozilla Wiki， 检 索 于 2014 年 7 月 15 日 )。 

© OCSP Uptime , http://uptime.netcraft.com/perf/reports/OCSP ( Netcraft, 检索 于 2014 年 7 月 15 日 )。 
































5.10 证书 吊销 125 





变 得 不 可 用 。” 
即使 使 用 软 失 败 , 在 OCSP 响 应 程序 崩 演 的 时 候 , 也 很 容易 遇 到 严重 的 性 能 问题 。 使 用 OCSP 
的 客户 端 在 尝试 连接 响应 程序 的 时 候 , 会 等 待 网 络 超 时 之 后 才 会 停止 尝试 。 这 个 超时 一 般 
设置 为 几 秒 。 例 如 ，Firefox 默 认 使 用 3 秒 超时 ， 在 使 用 硬 失 败 的 情况 下 使 用 10 秒 超时 。 
还 有 一 个 与 所 谓 的 强制 网 络 门 户 (captive portal ) 相关 的 问题 ， 也 就 是 指 用 户 没有 完全 访 
问 互 联网 的 权限 ( 因此 无 法 访问 一 些 OCSP 响 应 程序 ) 但 是 仍然 需要 验证 证 书 的 情况 。 在 
实际 中 ， 这 种 情况 在 需要 身份 验证 的 无 线 网 络 环境 中 很 常见 。 虽 然 强 制 网 络 门 户 可 以 使 
用 白 名 单 来 过 滤 公 共 OCSP 响 应 程序 ， 但 是 大 部 分 的 门户 都 没有 这 样 做 。 
口 性 能 
OCSP 本 质 上 比较 慢 。 它 要 求 客户 端 首先 解析 证 书 ， 获 取 OCSP URL， 向 OCSP 响 应 程序 发 
起 一 个 新 的 TCP 连 接 ， 等 待 响 应 ， 然 后 才能 向 原始 网 站 发 起 HTTP 请 求 。 一 个 缓慢 的 OCSP 
响应 程序 可 能 会 让 第 一 次 连接 你 的 网 站 的 用 户 多 增加 几 百 毫秒 的 延迟 。 
OCSP 响 应 程序 的 性 能 可 能 是 CA 之 间 最 大 的 技术 差异 。 你 肯定 希望 选择 一 个 让 你 的 网 站 速 
度 减 慢 最 小 的 CA。 这 样 一 来 ， 就 需要 全 球 分 布 的 OCSP 响 应 程序 网 络 。 某 些 CA 使 用 他 们 
自己 的 基础 设施 ， 而 其 他 的 一 些 CA 则 会 选择 商业 CDN 服 务 ， 就 像 Akamai 和 CloudFlare。 
维护 一 个 健壮 的 OCSP 响 应 程序 并 不 是 一 个 简单 的 任务 。Verisign ( 现在 的 Symantec ) 运行 
着 一 个 高 可 用 的 OCSP 响 应 程序 服务 。 他 们 声称 ， 在 2012 年 中 他 们 每 天 服务 了 超过 45 亿 次 
的 OCSP 查 询 。” 一 个 最 新 的 报告 指出 ， 在 2014 年 这 个 数值 增长 到 了 每 天 140 亿 。” 
口 正确 性 
一 个 OCSP 响 应 程序 是 可 靠 并 且 高 性 能 的 , 并 不 代表 它 可 以 正确 地 作出 响应 。 有 些 CA 不 将 
他 们 主 数据 库 中 的 修改 与 OCSP 响 应 程序 同步 ,例如 ,之 前 我 从 公开 CA 处 购买 了 一 个 证 书 ， 
并 将 其 部 署 到 我 的 网 站 上 ， 然 后 很 快 就 发 现 所 有 的 OCSP 请 求 都 是 失败 的 。 
在 联系 了 CA 之 后 ,我 了 解 到 新 签发 的 证 书信 息 被 更 新 到 OCSP 响 应 程序 需要 最 多 40 分 钟 的 
时 间 。 我 的 意见 是 将 证 书 的 签发 推迟 到 他 们 的 整个 基础 设施 都 准备 好 ， 但 是 他 们 以 “ 太 
复杂 ”为 由 拒绝 了 这 个 意见 。 
当前 ，OCSP 吊 销 检查 很 难 调整 为 使 用 硬 失败 策略 。CA 在 开始 的 时 候 做 得 不 好 ， 因 此 当 浏 览 
器 都 使 用 了 软 失 败 之 后 ， 他 们 没有 足够 的 动机 来 改进 。 今 天 ， 一 个 更 有 可 能 的 方案 是 通过 OCSP 
stapling 来 解决 可 用 性 和 性 能 的 问题 , 在 这 种 情况 下 ， 人 允许 服务 器 只 从 CA 获取 一 次 OCSP 响 应 ,并 
将 结果 用 于 自己 的 证 书 并 返回 给 客户 端 。 
































































































































QD Certificate revocation and the performance of OCSP, http://news.netcraft.com/archives/2013/04/16/certificate-revocation- 
and-the-performance-of-ocsp.html ( Netcraft，2013 年 4 月 16 日 )。 

© 2013 Internet Security Threat Reporb Volume 18, http://www.symantec.com/security_response/publications/threatreport. 
jsp (Symantec，2013 年 4 月 )。 

@® Three years after Diginotar closed, hackers still trying to use its digital certificates ，http:Wwww.cso.com.au/article/540551/ 
three_years_after diginotar closed hackers still trying use its digital certificates/ ( CSO，2014 年 3 月 14 日 )。 
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注意 
/ 工 忆 


在 过 去 几 年 中 ,我 一 直 将 我 的 Firefox 浏 


览 器 配置 成 硬 失 败 (在 about:config 中 ， 将 


security.ocsp.require 设 置 为 true )。 在 那 段 时 期 , 我 只 遇 到 过 一 个 CA 存在 OCSP 响 
应 程序 问题 。 有 趣 的 是 ， 这 与 之 前 那个 需要 40 分 钟 进行 同步 的 是 同一 个 CA。 


5. 强制 OCSP stapling 











时 至 今日 ， 看 起 来 整个 世界 都 放弃 了 通过 与 
检查 的 手段 。 CRL 和 OCSP 都 存在 问题 ,以 至 于 它们 被 浏览 器 厂商 以 及 网 站 运 维和 人 员 所 拒绝 使 用 ， 
这 些 人 永远 都 追求 在 一 无 所 失 的 基础 上 实现 高 可 用 性 和 快速 运 维 。 有 一 种 可 能 性 是 一 个 新 的 特 
stapling， 可 以 将 性 能 以 及 安全 协调 到 最 佳 状态 。 

此 特性 的 核心 是 使 用 OCSP stapling， 这 样 网 站 就 可 以 在 每 次 TLS 握 手 的 时 候 同 时 提供 证 书 的 
有 效 信息 。 在 写作 本 书 的 时 候 ，OCSP stapling 在 隐私 、 可 用 性 以 及 性 能 方面 作出 了 改进 。 它 没有 
提供 任何 安全 方面 的 好 处 ， 因 为 它 不 是 必需 的 ， 而 且 可 能 会 被 攻击 者 删除 。 然 而 ， 如 果 我 们 强制 
使 用 OCSP stapling， 那 么 一 个 被 窃取 的 证 书 只 有 在 攻击 者 能 够 同时 提供 有 效 OCSP 响 应 的 时 候 才 





性 ， 叫 作 强 制 OCSP 











有 效 。 这 意味 着 攻击 只 





























签发 证 书 的 CA 直接 通信 的 方式 来 提供 证 书 吊销 



























































能 在 几 天 内 起 作用 ， 而 不 是 几 个 月 或 者 几 年 直到 证 书 过 期 为 止 。 
有 几 个 提案 是 关于 如 何 实现 这 个 特性 的 。 























种 提议 是 创建 一 种 新 的 证 书 类 型 , 只 针对 OCSP 








stapling 的 响应 有 效 ， 具 体 来 说 可 以 通过 TLS 的 扩展 "来 实现 。 此 外 ， 网 站 也 可 以 对 外 通告 说 它 
要 求 OCSP stapling， 例 如 通过 一 个 HTTP 响 应 头 。 实 际 上 ， 最 好 的 方法 可 能 是 通过 HSTS 的 扩展 


来 实现 。* 




















这 个 方法 是 合理 的 ， 因 为 新 的 功能 能 够 以 扩 
Mozilla 看 起 来 有 兴趣 同时 支持 两 种 方法 。? 
































展 的 方式 加 到 现 有 的 HSTS 结 构 上 。 截 至 目前 ， 


QD X.509v3 TLS Feature Extension, https://datatracker.ietf.org/doc/draft-hallambaker-tlsfeature/ (了 Hallam-Baker, 2015 


年 7 月 )。 


© Requiring OCSP Stapling as a directive in HSTS, https://www.ietf.org/mail-archive/web/websec/current/msg02297.html 











( Tom Ritter 发 表 了 





FIETF WebSec WG 邮件 列表 ，2015 稀 





F1 月 19 日 )。 





@ Bug 901698-implement OCSP-must-staple (off by defaulb ， https://bugzilla.mozilla.org/show_ bug.cgi?id=901698 
( Bugzilla@Mozilla， 检 索 于 2014 年 7 月 15 日 )。 
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由 于 种 种 原因 ,我 们 今天 所 编写 的 软件 天 生 就 是 不 安全 的 。 第 一 , 那些 基本 工具 ( 编程 语言 
和 库 ) 在 编写 的 时 候 没 有 考虑 到 安全 问题 。 像 C 和 C++ 这 类 语言 允许 我 们 开发 高 效 但 是 脆弱 的 程 
序 。 经 常 可 以 看 到 一 处 编程 错误 就 使 得 整个 程序 骨 演 。 这 显然 是 不 合理 的 。 而 且 在 设计 库 和 API 
的 时 候 也 很 少 考虑 到 减少 错误 和 提高 安全 性 , 很 多 文档 和 书籍 中 的 代码 和 设计 都 存在 基本 的 安全 
问题 。 我 们 很 容易 就 可 以 找到 一 个 典型 的 例子 :当下 最 流行 的 SSL/TLS 库 OpenSSL 本 身 就 以 缺少 
文档 闻名 ， 极 难 使 用 。 
第 二 个 问题 隐藏 得 更 深 , 它 与 软件 编写 背后 的 经 济 学 原因 有 关 。 当 今 业界 奉行 的 观点 是 强调 
用 最 低 的 成 本 ( 包括 时 间 和 人 金钱 ) 来 完成 工作 ,而 不 会 考虑 不 安全 的 代码 带 来 的 长 期 影响 。 安 全 
性 (更 加 通用 的 说 法 是 代码 质量 ) 并 不 被 软件 的 最 终 用 户 所 关注 ， 因 此 软件 公司 不 会 在 这 些 方面 
进行 投入 。 

结果 就 是 , 你 可 能 会 经 常 听 说 绕 过 而 非 破解 密码 学 功能 的 说 法 。 主流 的 加 密 基 元 已 经 被 充分 
了 解 ,没有 攻击 者 会 首先 对 这 些 基 元 进行 攻击 。 但 是 加 密 基 元 很 少 独 自 使 用 , 更 多 的 是 实现 到 代 
码 中 , 与 更 高 层次 的 协议 捆绑 在 一 起 使 用 。 这 些 实现 才 是 导致 问题 产生 的 重点 , 这 也 是 为 什么 你 
很 少 听 说 有 俊 瓜 来 实现 他 们 自己 的 加 密 基 元 库 。 

尽管 在 过 去 发 现 了 很 多 有 关 主 流 加 密 协 议 的 设计 缺陷 , 但 是 实现 上 的 缺陷 所 带 来 的 问题 也 不 
容 忽视 ， 尤 其 是 那些 在 没有 专业 的 密码 学 知识 的 情况 下 开发 出 来 的 项 目 ， 情 况 更 加 不 容 乐观 。 

本 章 将 回顾 主流 的 实现 缺陷 ,包括 过 往 的 和 现在 还 在 起 作用 的 那些 缺陷 。 


6.1 证 书 校 验 缺 陷 


为 了 确保 一 条 TLS 连 接 是 可 信 的 ， 每 个 客户 端 都 必须 执行 两 个 基本 检查 : 检查 证 书 属于 预期 
的 域名 以 及 检查 证 书 在 有 效 期 内 且 可 信 。 这 听 起 来 很 简单 ,但 是 细节 会 带 来 大 问题 。 开 发 人 员 在 
开发 校 验证 书 的 代码 时 , 会 使 用 真实 的 证 书 来 测试 代码 功能 , 然而 这 些 真 实 的 证 书 不 会 被 恶意 修 
改 或 者 引起 安全 问题 ， 所 以 开发 人 员 可 能 会 错过 编写 一 些 严格 测试 的 逻辑 。 

例如 ， 下 面 是 一 些 为 校 验证 书 链 有 效 性 而 需要 执行 的 步 又 。( 绝 非 全 部 ! ) 

(1) 最 终 实 体 〈 服务 器 ) 证 书 对 期 望 连接 的 域名 是 可 用 的 。 

(2) 证 书 链 中 的 所 有 证 书 〈 包 括 最 终 实 体 证 书 ) 必须 进行 以 下 两 项 检查 。 
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口 没有 过 期 
口 签名 是 有 效 的 
(3) 一 个 中 间 证 书 需要 满足 以 下 三 个 条 件 。 
口 可 以 在 特定 目的 下 给 其 他 证 书签 名 (例如 一 个 中 间 证 书 可 以 签发 Web 服 务 器 证 书 , 但 是 不 
能 给 代码 签名 ) 
口 可 以 签发 其 他 CA 证 书 ” 
口 可 以 签发 含有 域名 的 最 终 实体 证 书 

此 外 ,， 可靠 的 实现 还 会 检查 其 他 内 容 , 例如， 确保 所 有 的 密 钥 都 是 高 强度 的 ,没有 使 用 安全 
强度 低 的 签名 算法 (例如 MD2、MD5 和 SHA1 )。 


6.1.1 在 库 和 平台 中 的 证 书 校 验 缺 陷 


因为 众多 的 软件 依赖 基础 的 库 和 平台 , 虽然 库 中 的 证 书 校 验 缺 陷 并 不 常见 , 但 是 影响 依然 十 
分 巨大 。 知 名 的 证 书 校 验 缺 陷 有 以 下 这 些 。 
口 Microsoft CryptoAPI 基 本 约束 检查 缺陷 ( 2002 ) 2 
这 可 能 是 大 规模 使 用 的 库 所 暴露 出 来 的 证 书 校 验 缺 陷 的 较 早 例子 ， 该 缺陷 影响 了 所 有 
Microsoft 平 台 以 及 在 其 上 运行 的 相关 软件 产品 。 该 缺陷 可 以 导致 任意 有 效 的 服务 器 证 书 被 
用 于 签发 一 个 可 信任 的 欺诈 证 书 ， 然 后 使 用 此 欺诈 证 书 进行 主动 中 间 人 攻击 。Konqueror 
( KDE 的 默认 浏览 器 ) 中 也 发 现 了 同样 的 问题 。 之 后 人 们 在 Microsoft 的 其 他 产品 中 发 现 了 
这 一 缺陷 的 变种 形式 ， 其 中 某 些 缺陷 可 以 导致 在 Windows 平 台 上 对 代码 进行 签名 。 
这 个 问题 最 早 由 Moxie Markinspike 在 2002 年 8 月 发 现 。 ”为 了 演示 此 问题 ，Moxie 编 写 了 用 
于 模拟 中 间 人 攻击 的 sslsniff ?工具 。2009 年 ，Moxie 发 现在 OpenSSL ( 0.9.6 版 本 前 后 ) 
中 存在 着 同样 的 问题 ， 但 是 没有 披露 进一步 的 细节 。 
口 GnuTLS 证 书 链 校 验 缺 陷 ( 2008 ) 
由 于 证 书 链 校 验 的 代码 缺陷 ， 攻 击 者 可 以 通过 在 一 条 不 可 信 的 证 书 链 末 端 加 上 一 张 可 信 
根 证 书 的 方式 达到 使 证 书 链 被 识别 成 合法 的 目的 。 出 现 这 个 问题 是 因为 最 后 增加 的 可 信 
证 书 在 对 证 书 链 中 的 其 他 证 书 进行 校 验 之 前 就 被 删除 了 。 
口 OpenSSL 中 DSA 和 ECDSA 签 名 校 验 缺陷 (2009 ) ” 






































































































































@ 出 于 安全 原因 ， 签 发 最 终 实体 证 书 的 CA 证 书 不 允许 再 签发 从 属 CA 证 书 。 证 书 链 中 所 有 其 他 中 间 证 书 必 须 拥有 此 
项 权限 。 

@) Certificate Validation Flaw Could Enable Identity Spoofing, https://technet.microsoft.com/library/security/ms02-050 
( Microsoft Security Bulletin MS02-050，2002 年 9 月 4 日 )。 

@) Internet Explorer SSL Vulnerability, http:/www.thoughtcrime.org/ie-ssl-chain.txt ( Moxie Marlinspike, 2002 年 8 月 8 日 )。 

(@ sslsniff, http://www.thoughtcrime.org/software/sslsniff/ ( Moxie Marlinspike， 检 索 于 2014 年 2 月 20 日 )。 

© Analysis of vulnerability GNUTLS-SA-2008-3 CVE-2008-4989，http://article.gmane.org/gmane.comp.encryption.gpg. 
gnutls.devel/3217 ( Martin von Gagern，2008 年 11 月 10 日 )。 

(© Incorrect checks for malformed signatures, https://www.openssl.org/news/secadv/20090107.txt ( OpenSSL，2009 年 1 月 7 日 )。 
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2009 年 ，Google Security Team 发 现 由 于 OpenSSL 代 码 中 存在 不 足 的 容错 检查 ，DSA 和 
ECDSA 的 错误 签名 不 会 被 检查 到 。 此 缺陷 的 影响 是 任何 进行 中 间 人 攻击 的 攻击 者 可 以 使 
用 伪造 的 证 书 链 ， 而 不 会 被 检查 出 问题 。 

口 iOS 基 本 约束 检查 缺陷 (2011 ) 2 
在 差不多 10 年 之 后 ，Apple 爆 出 了 一 个 与 Microsoft 当 年 相同 的 证 书 链 校 验 缺陷 。4.2.10 和 
4.3.5 之 前 版 本 的 iOS 系 统 没 有 检查 证 书 是 否 可 以 作为 中 间 CA 使 用 ， 从 而 导致 攻击 者 可 以 
用 任意 证 书签 发 新 的 证 书 。 

口 iOS 和 OSX 中 的 连接 验证 缺陷 (2014 ) 
2014 年 2 月 21 日 ，Apple 发 布 了 iOS 6.x 和 7.x 的 软件 更 新 ， 这 次 更 新 修正 了 了 TLS 连接 验 证 中 
的 bug。2? 虽然 Apple 没 有 提供 任何 关于 这 个 bug 的 细节 (他们 一 向 如 此 ), 但 是 更 新 中 对 于 
bug 的 描述 吸引 了 很 多 人 对 此 bug 展 开 逆 向 查找 ， 他 们 发 现 该 bug 可 能 是 因为 TLS 连 接 验 证 
的 代码 中 的 问题 导致 任何 DHE 以 及 ECDHE 连 接 会 被 主动 中 间 人 攻击 者 所 劫持 。 在 最 新 发 
布 的 OSX ( 10.9，2013 年 10 月 发 布 ) 中 ,也 发 现 了 同样 的 bug。 不 幸 的 是 ，Apple 并 没有 针 
对 OSX 发 布 更 新 以 修复 此 问题 。 对 于 这 样 的 严重 安全 问题 ， 我 们 尚 不 清楚 Apple 为 何 没 有 
与 OS 同步 发 布 针 对 OSX 的 软件 更 新 。 之 后 可 能 是 迫 于 外 界 压力 ，Apple 在 几 天 后 的 2 月 25 
日 发 布 了 含有 修改 此 bug 的 OSX 版 本 ( 10.9.2 版 本 )。 
从 TLS 握 手 过 程 的 角度 来 看 ， 这 个 bug 简 直 严 重 到 了 极点 ， 因 为 它 发 生 在 握手 过 程 中 的 临 
时 部 分 ， 因 此 从 不 会 被 应 用 程序 记录 相关 日 志 ( 如 果 是 普通 的 证 书 验证 攻击 ， 攻 击 者 需 
要 提供 伪造 的 证 书 链 ， 这 些 伪造 的 证 书 在 握手 的 过 程 中 会 被 记录 到 日 志 中 )。 所 以 如 果 攻 
击 者 经 过 精心 设计 ， 只 对 存在 缺陷 的 客户 端 发 起 攻击 ( 鉴于 TLS 握 手 暴 露 了 足够 的 信息 从 
而 允许 非常 可 靠 的 指纹 识别 , 攻击 应 该 有 可 能 实现 ), 那么 就 可 以 将 攻击 做 到 可 靠 、 高 效 、 
悄 无 声息 而 不 留 下 任何 痕迹 。 
在 这 些 有 和 缺陷 的 系统 上 运行 的 所 有 应 用 程序 都 受到 影响 。 唯 一 的 例外 是 那些 跨 平台 的 应 
用 程序 (例如 Chrome 和 Firefox )， 这 些 程序 依赖 它们 自由 的 TLS 库 。 

口 GnuTLS 证 书 链 校 验 缺 陷 (2014 ) 
2014 年 早期 ，GnuTLS 披 露 了 两 个 与 证 书 链 校 验 有 关 的 漏洞 。 "第 一 个 漏洞 会 导致 GnuTLS 
将 任意 版 本 号 为 1 的 X.509 格 式 的 证 书 识别 为 中 间 CA 证 书 。 如 果 攻 击 者 想方设法 获取 到 了 
一 个 有 效 的 v1 版 本 的 服务 器 证 书 (一 般 来 讲 不 太 可 能 ， 因 为 这 个 版 本 已 经 废弃 了 )， 他 们 
就 可 以 使 用 这 个 证 书 来 伪装 成 任何 的 服务 器 以 欺骗 使 用 GnuTLS 的 客户 端 。 这 个 漏洞 是 在 
GnuTLS 2.11.5 中 引入 的 。 
再 来 看 第 二 个 漏洞 。 在 Apple 的 TLS 验 证 问题 被 发 现 之 后 不 久 , GnuTLS 也 披露 了 一 个 类 似 的 












































































































































DTWSL2011-007: iOS SSL Implementation Does Not Validate Certificate Chain, http://seclists.org/fulldisclosure/2011/ 
Jul/315 (Trustwave SpiderLabs，2011 年 6 月 25 日 )。 

© About the security content of iOS 7.0.6，https://support.apple.comy/en-gb/HT202934 ( Apple，2014 年 2 月 )。 

@)Applexs SSL/TLS bug, https:/www.imperialviolet.org/2014/02/22/applebug.html ( Adam Langley，2014 年 2 月 22 日 )。 

(@ Advisories ，http://gnutls.org/security.html ( GnuTLS ， 检 索 于 2014 年 7 月 17 日 )。 
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bug: 使 用 一 个 算 改 过 的 证 书 可 以 导致 GnuTLS 的 验证 过 程 缩短 并 将 此 证 书 判断 为 有 效 。" 这 
估计 是 GnuTLS 的 开发 者 在 了 解 到 Apple 的 bug 之后， 重新 检查 了 自己 的 代码 而 发 现 的 。 虽 
然 GnuTLS 没 有 被 主流 的 浏览 器 使 用 ， 在 服务 器 端 也 不 像 OpenSSL 那 样 流行 ,但 是 它 依然 
有 一 些 主要 的 用 户 。 例 如 ， 很 多 Debian 发 行 版 中 自 带 的 软件 包 使 用 的 就 是 GnuTLS。 因 此 
此 缺陷 造成 的 影响 可 能 非常 巨大 。 这 个 bug 在 GnuTLS 的 代码 中 存在 了 相当 长 的 时 间 ， 极 
有 可 能 从 GnuTLS 的 第 一 个 版 本 开始 就 存在 了 。 

口 OpenSSL 的 ChangeCipherSpec 消 息 注 入 缺陷 (2014 ) 
2014 年 6 月 , OpenSSL 开 源 项 目 公布 了 一 个 长 期 存在 的 缺陷 , 该 缺陷 使 得 主动 网 络 攻击 者 可 
以 在 SSLATLS 握 手 的 过 程 中 通过 注入 ChangeCipherSpec 消 息 的 方法 ， 迫 使 最 终 协商 出 预期 
的 主 密 钥 值 。? 此 问题 几乎 存在 于 所 有 版 本 的 OpenSSL 中 ， 但 是 目前 据 我 们 所 知 ， 除 了 使 
用 特定 有 缺陷 版 本 的 1.0.1 分 文 的 OpenSSL 的 服务 器 以 外 ,该 缺陷 还 不 能 对 其 他 的 版 本 造成 
和 危险。 造成 此 问题 的 根本 原因 是 : 在 TLS 握 手 的 过 程 中 ，ChangeCipherSpec 消 息 是 握手 双 
方 用 来 通知 对 方 协商 过 程 结束 并 进入 加 密 阶 段 ， 但 是 此 消息 并 没有 经 过 验证 ， 因 为 它 不 

属于 TLS 握 手 协 议 的 一 部 分 。 如 果 攻 击 者 提前 发 送 了 这 个 消息 ( OpenSSL 对 此 应 该 发 现 异 

常 但 是 实际 上 并 没有 ),， 那么 存在 威胁 的 一 方 会 使 用 攻击 者 了 解 的 信息 过 早 地 生成 密 钥 。” 

尽管 这 个 缺陷 十 分 严重 并 且 容 易 被 利用 ， 但 是 它 的 影响 却 不 是 很 大 ， 因 为 要 利用 这 个 缺 

陷 ， 需 要 通信 双方 都 使 用 OpenSSL， 然 而 OpenSSL 在 客户 端 很 少 有 人 使 用 。 在 将 OpenSSL 

用 于 客户 端 应 用 程序 的 平台 中 ， 最 著名 的 是 Android 4.4 (KitKat ) 平台 ， 该 平台 随后 修复 
了 这 个 问题 。 据 SSL Pulse 的 数据 ,就 在 该 缺陷 刚刚 公布 的 时 候 , 全 球 大 概 有 14% 的 服务 器 
在 运行 存在 此 缺陷 版 本 的 OpenSSL。 

口 OpenSSL 可 选 链 证 书 伪 造 (2015 ) 
在 2015 年 7 月 发 现 了 OpenSSL 的 另外 一 个 身份 验证 漏洞 。 在 证 书 链 校 验 代码 中 的 一 个 bug 
导致 网 络 攻 击 者 可 以 使 用 分 支 证 书 伪造 成 有 效 的 中 间 证 书 (CA ) “幸运 的 是 ， 这 个 问题 
的 影响 很 小 ， 因 为 该 缺陷 只 是 在 一 个 月 前 引入 的 ， 绝 大 多 数 服 务 器 都 不 会 如 此 紧密 地 跟 
随 OpenSSL 的 升级 。 基 于 一 个 针对 此 问题 的 测试 用 例 的 公布 , “Metasploit 中 增加 了 针对 此 
问题 的 攻击 模块 ”。 

2014 年 ， 一 组 研究 人 员 公 布 了 对 几 个 SSL 库 所 进行 的 针对 证 书 校 验 缺 陷 的 综合 对 抗 性 测试 的 






























































































































































QD Dissecting the GnuTLS Bug, http://blog.bro.org/2014/03/dissecting-gnutls-bug.html ( Johanna，2014 年 3 月 5 日 )。 

©® OpenSSL Security Advisory CVE-2014-0224, https://www.openssl.org/news/secadv/20140605.txt ( OpenSSL，2014 年 6 
月 5 日 )。 

@) Early ChangeCipherSpec Attack, https:/www.imperialviolet.org/2014/06/05/earlyccs.html ( Adam Langley，2014 年 6 月 5 日 )。 

(@ Alternative chains certificate forgery (CVE-2015-1793), https://openssl.org/news/secadv/20150709.txt( OpenSSL Security 
Advisory，2015 年 7 月 9 日 )。 

@Addtest for CVE-2015-1793, https://github.com/openssl/openssl/commit/593e9c638c58elaS10c519db0d024527113330f3 
(OpenSSL commit，2015 年 7 月 2 日 )。 

(© Add openssl altchainsforgery_mitm proxy.rb, https://github.com/rapid7/metasploit-framework/pull/5735( Metasploit pull 
request，2015 年 7 月 16 日 )。 
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结果 。 "他 们 提出 了 一 个 叫 作 “突变 证 书 ” 的 概念 来 伪造 证 书 ， 即 fankencerts。 这 些 伪造 的 证 书 
是 基于 真实 的 证 书 创建 的 。? 测 试 结果 显示 ， 虽 然 目 前 被 广泛 使 用 的 SSL 库 和 主流 浏览 器 都 通过 
了 测试 , 但 是 那些 较 少 被 使 用 的 库 ( 例如 PolarSSL 、GnuTLS 、CyaSSL 以 及 MatrixSSL 等 ) 都 存在 
严重 缺陷 。 


6.1.2 ”应 用 程序 校 验 缺 陷 


如 果 说 主流 的 平台 和 库 中 都 存在 着 严重 的 证 书 校 验 缺 陷 , 那 我 们 有 理由 认为 其 他 软件 的 情况 
将 更 加 糟糕 。 毕 竟 ， 对 于 大 多 数 开发 人 员 来 说 ,过 多 思考 代码 的 安全 性 会 影响 他 们 及 时 交付 软件 
给 用 户 。 业 内 有 很 多 关于 最 终 用 户 程 序 代 码 中 的 证 书 校 验 逻 辑 缺 陷 的 传闻 ， 并 存在 相关 的 证 据 ， 
但 是 直到 2012 年 一 篇 关于 该 主题 的 研究 报告 发 表 后 ， 人 们 才 清 楚 地 了 解 此 问题 的 情况 。 "以 下 是 
从 报告 中 摘录 的 重点 : 

我 们 证 实 了 在 很 多 安全 关键 的 应 用 程序 和 库 中 都 存在 SSL 证 书 校 验 逻辑 的 缺陷 。 有 
问题 的 软件 包括 Amazon EC2 的 Java 库 以 及 所 有 基于 其 上 的 云 客户 端 ; Amazon 和 Paypal 

的 负责 将 支付 详情 从 电 商 网 站 发 送 到 支付 网 关 的 零售 SDK; osCommerce、ZenCart、 

Ubercart 和 PrestaShop 这 些 一 体 化 购物 车 软件 ; 移动 端 网 站 使 用 的 AdMob 代 码 ; Chase 移 

动 银行 与 几 个 其 他 的 Android APP 和 库 ; 包括 Apache Axis、Axis 2、Codehaus XFire 和 

Pusher for Android 在 内 的 Java Web 服 务 中 间 件 ， 以 及 所 有 使 用 这 些 中 间 件 的 应 用 程序 。 

任何 来 自 这些 程 序 的 SSL 连 接 在 中 间 人 攻击 的 面前 都 是 不 安全 的 。 

如 果 这 些 都 无 法 敲 响 警钟 ， 那 我 也 不 知道 什么 会 了 。 很 明显 , 报告 中 提 到 了 一 些 主要 的 互联 
网 基础 设施 的 组 件 。 按 照 编 写 该 报告 的 研究 团队 的 观点 ， 造 成 这 个 情况 的 主要 原因 是 不 好 的 API 
设计 。 很 多 库 不 仅 是 在 默认 状态 下 很 不 安全 (没有 任何 证 书 校 验 )， 而 且 想 使 用 它们 写 出 安全 的 
代码 也 很 困难 。 大 部 分 库 本 身 提供 的 功能 过 于 底层 ， 这 就 更 多 地 依赖 用 户 来 确保 安全 性 。 例 如 
OpenSSL 就 只 能 由 使 用 人 员 自 己 编写 代码 来 执行 主机 名 验证 。 

这 个 报告 非常 准确 地 描述 了 我 们 整个 开发 工具 栈 中 的 一 个 主要 问题 , 包括 全 部 的 代码 和 安全 
性 ,不 仅仅 是 SSL 和 TLS。 没 错 ， 有 很 多 的 库 并 不 安全 也 难以 使 用 ， 但 是 真正 的 问题 在 于 我 们 居 
然 一 直 在 使 用 它们 。 难 怪我 们 会 一 直 犯 同样 的 错误 。 

公平 地 讲 ， 还 是 有 一 些 平台 做 得 不 错 。 例 如 Java 的 SSL/TLS 实 现 (JSSE ) 默认 执行 了 所 有 必 
要 的 校 验 , 这 显然 很 对 那些 不 希望 自己 搭建 安全 开发 组 件 的 程序 员 的 胃口 。 坊 间 证 据 表 明 ， 大 多 
数 程序 员 在 开发 阶段 会 禁用 代码 中 的 校 验 逻 辑 。 我 们 怀疑 这 些 校 验 逻辑 在 生产 环境 中 会 有 多 少 会 
被 再 次 启用 。 













































































































































































QD Using Frankencerts for Automated Adversarial Testing of Certificate Validation in SSL/TLS Implementations, https://www.cs. 
utexas.edu/%7Eshmat/shmat oak14.pdf ( Brubaker 等 ，S&P，2014 年 )。 

© Frankencert， https://github.com/sumanj/frankencert ( sumanj ，GitHub ， 检 索 于 2014 年 7 月 17 日 )。 

©® The most dangerous code in the world: validating SSL certificates in non-browser software, https://crypto.stanford.edu/~ 
dabo/pubs/abstracts/ssl-client-bugs.html ( Georgiev 等 ，CCS，2012 年 )。 
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6.1.3 ”主机 名 校 验 问 题 


说 到 主机 名 校 验 , 去 校 验 一 个 证 书 是 否 符合 期 望 的 主机 名 能 有 什么 难 的 ?但 结果 是 , 这 种 校 
验 经 常 被 错误 地 实现 ， 有 一 些 漏洞 说 明了 这 一 点 。 在 2009 年 的 美国 黑 帽 子 (Black Hat USA ) 大 
会 上 ，Dan Kaminsky"” 和 Meoxie Marlinspike ”各 自演 示 了 如 何 通过 证 书 校 验 缺 陷 实施 中 间 人 攻击 ， 
而 被 劫持 的 受害 者 没有 收 到 任何 关于 证 书 失效 的 警告 。 

要 想 成 功 地 实施 完整 攻击 需要 同时 利用 几 个 缺陷 , 但 是 他 们 两 人 的 方案 中 的 共同 点 是 利用 了 
NUL 字 节 ， 即 C 和 C++ 中 用 做 字符 串 结 尾 标志 的 0 字 节 。 在 C 和 C++ 这 种 场景 里 ，NUL 字 节 不 是 数 
据 的 一 部 分 ， 而 是 指明 数据 结束 。 这 种 表示 文本 数据 的 方法 是 方便 的 ,因为 你 需要 记录 一 个 指向 
数据 的 指针 。 在 处 理 数据 的 时 候 ， 如 果 遇 到 了 NUL 字 节 , 那么 你 就 会 知道 到 达 了 数据 的 结尾 ( 如 
图 6-1 所 示 )。 



























































eol wo 


图 6-1 C 字 符 串 在 内 存 中 的 表示 


基于 ASN.1 编 码 标准 的 证 书 结构 使 用 了 一 种 不 同 的 方法 ,这 种 方法 中 ， 所 有 的 结构 都 是 带 长 
度 存储 的 。 处 理 字符 串 长 度 的 不 同方 法 导致 了 问题 的 发 生 : 证 书 使 用 一 种 方式 编码 ( ASN.1 )， 
但 是 使 用 男 一 种 方式 处 理 ( C 字 符 串 )。 

那么 针对 此 场景 的 攻击 是 这 样 的 : 构造 一 个 在 主机 名 中 包含 NUL 字 节 的 证 书 , 然后 打赌 : (1) 
大 部 分 客户 端 会 判定 NUL 字 节 处 就 是 主机 名 的 结尾 ; (2) 主机 名 中 的 NUL 字 节 可 以 混 过 CA 的 校 验 
流程 。 

以 下 是 Moxie 执 行 攻击 的 步骤 。 

(1) 创建 一 个 含有 NUL 字 节 的 特殊 主机 名 称 字 符 串 。Moxie 使 用 的 是 : www.paypal.com\0. 
thoughtcrime.org (NUL 字 节 使 用 \o 表 示 ， 但 正常 情况 下 是 “看 不 见 ” 的 ; 如 图 6-2 所 示 )。 构 建 字 
符 串 的 规则 是 下 面 两 个 。 

口 将 你 想 仿 骨 的 主机 名 放 在 NUL 字 节 的 前 面 。 
口 将 你 能 控制 的 一 个 域名 放 在 NUL 字 节 的 后 面 。 
(2) 对 于 CA 来 说 ，NUL 字 节 并 不 是 什么 特殊 的 字符 。” 他 们 签发 证 书 的 时 候 是 基于 域名 的 结尾 











































































































QD PKI Layer Cake: New Collision Attacks Against the Global X.509 Infrastructure, https://www.cosic.esat.kuleuven.be/ 
publications/article-1432.pdf ( Kaminsky 等 ，Black Hat USA ，2009 年 )。 

©® More Tricks For Defeating SSL In Practice, http:/www.blackhat.com/presentations/bh-usa-09/MARLINSPIKE/ BHUSA09- 
Marlinspike-DefeatSSL-SLIDES.pdf ( Moxie Marlinspike, Black Hat USA，2009 年 )。 

@ 实际 上 ， 从 严格 意义 上 并 不 能 这 么 说 。 某 些 CA 被 发 现 不 正确 地 处 理 NUL 字 节 ， 并 且 将 它 误 以 为 是 字符 串 结 束 符 。 

在 当今 ， 几 乎 所 有 CA 都 对 提交 的 域名 执行 了 各 种 形式 的 检查 。 
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进行 校 验 , 这 会 导致 校 验 流程 命中 某 个 顶级 域名 ,在 本 例 中 , CA 需要 校 验 的 域名 是 thoughtcrime.org， 
该 域名 属于 Moxie。 那 他 当然 可 以 证 明证 书 是 他 申请 的 。 
(3) 最 后 这 个 证 书 就 可 以 放 在 一 个 修改 过 的 sslsniff 中 ， 用 来 针对 客户 端 展开 攻击 。 
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图 6-2 ”Moxie Marlinspike 使 用 的 用 于 演示 攻击 的 域名 


Microsoft 的 CryptoAPI、GnuTLS 和 NSS 库 中 都 发 现 了 NUL 字 节 攻 击 的 漏洞 , 这 影响 了 Firefox、 
Internet Explorer 和 许多 其 他 浏览 器 。 此 外 如 果 你 使 用 泛 域 名 的 形式 来 签发 一 个 形 如 
*\0thoughtcrime.org 的 证 书 ， 就 会 得 到 一 个 万 能 的 中 间 人 攻击 证 书 。 


6.2 ”随机 数 生 成 


由 于 所 有 的 密码 学 算法 都 依赖 随机 数 ， 生 成 随机 数 的 功能 就 成 为 了 建立 安全 信道 的 关键 部 
分 。" 例 如 ， 在 生成 一 个 密 钥 的 时 候 ， 你 就 需要 生成 随机 数 。 需 要 注意 的 是 ， 这 里 说 的 生成 密 钥 
不 是 那 种 一 次 性 的 行为 ( 例如 在 一 台新 服务 器 上 安装 密 钥 )， 而 是 在 类 似 TLS 这 种 安全 协议 中 为 
每 个 连接 所 生成 的 密 钥 。 

举例 来 说 ， 如 果 使 用 一 个 好 的 随机 数 生 成 器 (random number generator，RNG ), 一 个 256 位 
的 对 称 密 钥 可 以 提供 256 位 的 安全 强度 (与 强 算 法 一 起 使 用 )。 但 是 如 果 随 机 数 生成 器 存在 缺陷 ， 
则 你 不 会 在 256 位 的 这 个 大 空间 中 得 到 一 个 随机 值 ， 相 反 ， 你 可 能 只 会 在 相 比 小 得 多 的 32 位 的 空 
间 中 生成 一 个 随机 数 。 随 机 数 的 有 效 空间 越 小 ， 安 全 性 就 越 差 。 如 果 密 钥 的 有 效 位 数 太 小 ， 那 么 
即使 使 用 暴力 破解 的 方式 也 可 以 获得 密 钥 。 
















































































6.2.1 Netscape Navigator 浏览 器 (1994) 


早期 的 一 个 随机 数 生 成 缺陷 的 例子 来 自 Netscape Navigator 浏 览 器 ,这 款 当 时 的 旗舰 产品 诞生 
于 设计 了 SSL 协 议 的 公司 。 这 款 浏 览 需 使 用 了 一 个 简单 的 随机 数 生 成 算法 ， 这 个 算法 依赖 系统 启 

















中 真正 的 随机 数 生 成 是 不 可 能 的 , 除非 使 用 特殊 的 硬件 。 在 实际 中 , 我 们 依赖 伪 随 机 数 生 成 器 ( pseudorandom number 
generator，PRNG )。 大 部 分 PRNG 使 用 少量 依 作 为 种 子 ， 然 后 就 可 以 生成 大 量 的 伪 随 机 数 。 在 本 节 中 ， 我 交 蔡 使 
RNG 和 PRNG。 
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动 到 当前 的 时 间 ( 以 毫秒 为 单位 ) 和 底层 操作 系统 进程 以 及 其 父 进程 的 进程 D。 该 问题 在 1995 
年 的 时 候 被 披露 出 来 ， 起 因 是 两 个 研究 人 员 对 Netscape Navigator 的 随机 数 生 成 器 "进行 了 逆向 工 
程 后 ， 编 写 了 一 个 程序 ， 成 功 地 破解 了 主 加 密 密 钥 ”。 

对 于 攻击 者 来 说 , 最 理想 的 情况 就 是 在 目标 Unix 机 器 上 也 拥有 一 个 账号 , 这 样 他 就 可 以 获得 
进程 和 父 进程 的 进程 ID。 攻击 者 可 以 通过 网 络 上 的 数据 包 获 得 系统 的 秒 级 时 间 , 那么 问题 就 变 成 
了 猜测 毫秒 , 而 这 只 有 20 位 的 安全 强度 。 要 获得 这 20 位 的 毫秒 数 , 攻击 者 只 需要 使 用 普通 的 硬件 ， 
就 可 以 在 25 秒 的 时 间 内 完成 破解 。 

更 现实 的 情况 下 , 攻击 者 不 知道 进程 ID, 那 问题 规模 会 被 减 小 到 47 位 ,这 依然 可 以 使 用 暴力 
破解 的 方法 在 短 时 间 内 达成 。 















































6.2.2 Debian (2006) 


2008 年 5 月 ，Luciano Bello 发 现 Debian Project 在 2006 年 9 月 的 一 个 灾难 性 的 编程 错误 影响 了 
OpenSSL 系 统 库 中 使 用 的 随机 数 生 成 器 。 “这 个 bug 在 2007 年 4 月 发 布 的 Debian Etch 稳 定 版 中 得 到 
了 修正 。Debian 不 仅 是 一 个 被 广泛 使 用 的 Linux 发 行 版 , 同时 也 是 很 多 其 他 发 行 版 的 基础 版 本 ( 最 
著名 的 是 Ubuntu )， 这 也 说 明了 这 个 问题 确实 影响 了 大 量 服务 器 。 

这 个 编程 错误 本 质 上 是 一 行 代 码 被 偶然 移 除 了 ( 注释 掉 ), 该 行 代码 的 作用 是 输入 炳 ( entropy ) 
给 随机 数 生成 器 。 该 行 代码 移 除 之 后 , 随机 数 生成 器 的 炉 就 只 剩 下 一 些 从 进程 DD 得 来 的 辅助 性 数 
值 ， 这 意味 着 对 于 所 有 的 密码 学 操作 都 只 有 16 位 的 炉 。 在 这 种 情况 下 ,所 有 受 影响 的 系统 的 安全 
性 都 将 不 复 存在 。 

产生 问题 的 代码 片段 如 下 所 示 : ” 

/* 


* 请 勿 添加 未 初始 化 的 数据 
MD_Update(&m, buf,j); 












































*/ 








MD_ Update(&m, (unsigned char *)&(md c[0]),sizeof(md c)); 
MD Final(&m,1local md); 
md c[1]++; 
在 实际 应 用 中 此 错误 产生 的 最 大 问题 是 弱 OpenSSH 密 钥 ” ， 但 是 由 于 SSH 密 钥 保 存 的 位 置 都 
是 广为人知 的 ， 可 以 很 容易 地 进行 检查 ， 此 问题 从 而 得 到 了 很 好 的 缓解 。Debian 项 目 构建 了 一 个 
































QD Randomness and the Netscape Browser, http:/www.cs.berkeley.edu/~daw/papers/ddj-netscape.html ( Ian Goldberg 和 
David Wagner，1996 年 1 月 )。 
©® unssl.c, http://www.mavil.org/web_security/cryptography/General/unssl.c ( Ian Goldberg 和 David Wagner, 1995 年 9 月 )。 





@ DSA-1571-1: openssl — predictable random number generator, http://www.debian.org/security/2008/dsa-1571 ( Debian, 
2008 年 5 月 13 日 )。 

由 Diff of /openssl/trunk/rand/md rand.c r140:r141, http://anonscm.debian.org/viewve/pkg-openssl/openssl/trunk/rand/md_ 
rand.c?rl=141&r2=140&view=diff&pathrev=141 ( Debian OpenSSL package, 2006 年 5 月 2 日 )。 

© Working exploit for Debian generated SSH Keys, http://seclists.org/fulldisclosure/2008/May/410 ( Markus Miiller, 2008 
年 5 月 15 日 )。 
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有 风险 密 钥 的 黑 名 单 ， 并 提供 了 检测 这 些 密 钥 的 工具 。 

替换 掉 有 风险 的 TLS 密 钥 则 困难 得 多 ， 因 为 替换 行为 无 法 作为 自动 升级 过 程 的 一 部 分 来 完 
成 。 人 们 开发 了 很 多 脚本 来 检查 所 有 的 文件 以 及 检测 弱 密 钥 。 因 为 该 问题 可 以 通过 检查 服务 器 的 
公 钥 来 确定 ， 所 以 可 以 有 效 地 使 用 远程 工具 进行 检测 ， 例 如 我 在 SSL Labs 网 站 上 就 提供 了 一 个 这 
样 的 工具 。 此 外 ， 多 数 服务 器 证 书 的 有 效 期 在 1~2 年 的 范围 内 ，CA 可 以 检查 公 钥 ( 公 钥 位 于 证 书 
的 签名 请 求 中 ) 然后 拒绝 为 有 风险 的 公 钥 签发 证 书 。 然 而 即便 如 此 ， 人 们 依然 对 这 个 问题 充满 了 
疑惑 。 许 多 人 发 现 即 使 在 有 风险 的 系统 上 生成 了 一 些 密 钥 , 这 些 密 钥 还 是 无 法 被 检测 工具 有 效 地 
识别 为 有 风险 的 密 钥 。 

Debian 随 机 数 生 成 器 问题 的 发 现 , 揭示 了 开源 项 目的 代码 经 常 被 一 些 不 熟悉 代码 逻辑 的 人 随 
意 修改 (无论 基 于 什么 原因 ) 的 事实 。 即 使 像 OpenSSL 这 样 关键 的 系统 组 件 也 没有 得 到 足够 的 质 
量 保证 。 最 后 ， 数 以 百 万 计 的 服务 仍 一 直 依 赖 这 样 的 代码 。 

在 开源 圈子 里 ， 开 源 项 目的 开发 者 和 发 行 版 的 打包 者 之 间 的 矛盾 早已 广为人知 。" 发 行 版 经 党 GE 
创建 各 种 开源 项 目的 分 支 并 且 对 它们 进行 大 量 的 修改 , 但 是 却 继续 使 用 这 些 项 目 原 有 的 名 称 。 结果 
就 是 , 他 们 经 常 在 哪些 版 本 存在 问题 以 及 由 谁 来 负责 修复 问题 这 样 的 事情 上 产生 纠纷 。 造成 这 种 现 
象 的 根本 原因 是 开发 者 和 打包 者 在 开发 计划 、 任 务 优 先 级 以 及 开发 目标 上 存在 不 同 而 产生 冲突 。” 

注意 

Debian 不 是 唯一 遭遇 随机 数 生 成 问题 的 操作 系统 。2007 年 ， 三 位 研究 人 员 发 布 论文 讨 
论 了 Windows 2000 的 随机 数 生成 器 的 弱点 。® 晚 些 时 候 ， 人 们 在 Windows XP 中 也 发 现 
了 同样 的 问题 。2013 年 3 月 ，NetBSD 项 目 宣布 ， 最初 于 2012 年 10 月 发 布 的 NetBSD 6.0 
在 内 核 的 随机 数 生成 器 中 存在 bug， 影 响 系统 的 安全 强度 。” 


6.2.3 ”由 入 式 设备 不 足 问题 


2012 年 2 月 ,一 组 研究 人 员 发 表 了 关于 互联 网 上 RSA 和 DSA 密 钥 质 量 的 延展 研究 的 结果 。" 结 
论 显示 , 观察 到 的 RSA 密 钥 (在 SSL/TLS 协 议 中 使 用 ) 至 少 有 0.5% 是 不 安全 的 , 而 且 容 易 被 攻破 。 
DSA 密 钥 (在 SSH 中 使 用 ) 的 结果 更 糟 ， 有 1.03% 的 密 钥 是 不 安全 的 。 

造成 密 钥 不 安全 的 大 多 数 原因 都 是 随机 数 生 成 的 问题 。 下 面 是 研究 的 结论 。 

最 后 ， 我 们 的 研究 结论 应 该 引起 人 们 警醒 : 在 实际 应 用 的 重要 领域 里 ， 安 全 随机 数 
的 生成 依然 是 一 个 没有 解决 的 问题 。 
积极 的 一 面 是 ,几乎 所 有 问题 都 出 现在 无 头 系统 和 上 能 人 式 设 备 中 , 研究 结果 显示 几乎 所 有 的 






































































































































QD Vendors Are Bad For Security, http:/www.links.org/?p=327 ( Ben Laurie，2008 年 5 月 13 日 )。 

©® Debian and OpenSSL: The Aftermath, http:/www.links.org/?p=328 ( Ben Laurie，2008 年 5 月 14 日 )。 

@ CryptGenRandom，https://en.wikipedia.org/wiki/CryptGenRandom ( 维基 百科 ， 检 索 于 2014 年 7 月 17 日 )。 

由 RNG Bug May Result in Weak Cryptographic Keys, http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD- 
SA2013-003.txtasc ( NetBSD，2013 年 3 月 29 日 )。 

©) Widespread Weak Keys in Network Devices ,https://factorable.net/( factorable.net， 检 索 于 2014 年 7 月 17 日 )。 
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非 嵌 和 人 式 系统 中 的 密 钥 都 是 安全 的 。 在 存在 问题 的 证 书 中 ， 只 有 少量 是 由 公开 CA 所 签发 的 。 识 
别 出 的 主要 问题 包括 以 下 这 些 。 
口 默认 密 铀 
一 些 广 商 在 交付 产品 的 时 候 会 内 置 一 些 默认 的 密 钥 。 显 然 ， 这 种 行为 没有 达到 厂商 期 望 
的 目的 ， 因 为 所 有 产品 的 用 户 最 终 都 会 使 用 同样 的 密 钥 ， 并 且 用 户 之 间 可 以 互相 攻破 对 
方 ， 只 要 他 们 从 产品 的 软件 或 者 硬件 提取 出 私 铀 。 此 外 ， 这 些 密 钥 也 将 不 可 避免 地 在 全 
世界 扩散 。” 
口 低 录 导 致 的 重复 密 铀 
一 些 设备 在 第 一 次 启动 的 时 候 生 成 密 钥 ， 此 时 用 于 生成 随机 数 的 炉 是 不 足 的 。 这 种 方式 
生成 的 密 钥 几乎 都 是 可 以 预测 的 。 研 究 报告 描述 了 一 组 模拟 无 头 系统 初次 启动 的 Linux 的 
实验 ， 实 验 清楚 地 演示 了 Linux 内 核 的 炉 收 集 系 统 在 初次 启动 的 最 初 几 秒 中 存在 的 弱点 。 
口 可 因子 分 解 的 密 钥 
最 有 意思 的 是 , 对 于 RSA 密 钥 , 研究 发 现 很 多 密 钥 中 用 于 计算 模 数 的 两 个 素数 中 的 一 个 是 
相同 的 ， 这 使 得 密 钥 可 能 会 被 攻破 。 原 则 上 素数 应 该 是 随机 生成 的 ， 生 成 相同 的 素数 是 
不 该 发 生 的 。 研 究 指 出 , 发 生 这 种 问题 的 根本 原因 是 OpenSSL 生 成 RSA 密 钥 的 代码 逻辑 在 
低 条 件 下 工作 不 正常 。 
与 TLS 相 关 的 研究 结果 的 汇总 如 表 6-1 所 示 。 


表 6-1 有 风险 的 私 钥 汇 总 (来源: factorable.net) 




























































































活动 主机 的 数量 12 828 613 (100.00%) 
于 用 重复 密 钥 7 770 232 (60.50%) 
时 用 有 风险 的 重复 密 钥 714 243 (5.57%) 
各 用 默认 证 书 或 默认 私 钥 670 391 (5.23%) 
于 用 低 粳 复 密 钥 43 852 (0.34%) 
各 用 可 以 分 解 因子 的 RSA 密 钥 64 081 (0.50%) 
时 用 Debian 弱 密 钥 4147 (0.03%) 
时 用 512 位 的 RSA 密 钥 123 038 (0.96%) 
被 标识 成 有 风险 的 设备 型 号 985 031 (7.68%) 
于 用 低 粳 复 密 钥 314 640 (2.45%) 























很 明显 ， 在 各 个 层面 都 存在 缺陷 ( 例如 ， 厂 商 可 以 检查 这 些 问 题 并 规避 )， 但 是 该 研究 最 终 
揭露 的 是 一 个 真正 的 可 用 性 问题 : 位 于 底层 操作 系统 之 上 的 提供 密 钥 功能 的 应 用 程序 期 望 底层 系 
统 提供 足够 的 随机 度 , 但 系统 提供 的 随机 度 往往 不 够 。 当 随机 度 不 够 的 时 候 , 应 用 程序 也 没有 办 
法 来 直接 判断 间 题 的 发 生 (例如 ，Linux 永 远 不 会 阻塞 对 /dev/urandom 的 读 操 作 )。 少 数 应 用 程序 
使 用 纵深 防御 的 方法 和 基于 统计 的 测试 来 验证 它们 得 到 的 随机 数 是 否 真 的 随机 。 
































QD LittleBlackBox, https://code.google.com/p/littleblackbox/ ( Database of private SSL/SSH keys of embedded devices， 检 
索 于 2014 年 7 月 17 日 )。 
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无 法 依赖 操作 系统 提供 可 靠 随机 度 的 问题 迫使 一 部 分 开发 者 转 而 实现 自己 的 随机 数 生成 器 。 
然而 这 种 方式 很 少 成 功 ， 因 为 随机 数 的 生成 是 一 件 容 易 出 错 并 且 很 难 的 工作 。 

如 果 你 有 一 个 脱 入 式 设备 并 且 希 望 检 查 这 个 设备 中 密 钥 的 质量 , 该 研究 的 作者 们 提供 了 一 个 
在 线 工 具 ， 可 以 用 来 检测 任何 接 入 互联 网 的 设备 。 


6.3 心脏 出 血 


心脏 出 血 " 是 OpenSSL 中 的 一 个 灾难 性 漏洞 ， 它 在 2014 年 4 月 被 发 现 并 公开 。 此 攻击 利用 了 心 
跳 ( Heartbeat ) 协议 实现 中 的 一 个 缺陷 ， 心 跳 协议 是 一 个 很 少 使 用 的 TLS 协 议 扩展 ( 更 多 关于 心 
跳 的 内 容 请 参考 2.12.4 节 )。 

心脏 出 血 漏 洞 可 以 说 是 TLS 协 议 有 史 以 来 遭遇 的 最 严重 的 问题 ， 比 较 讽 刺 的 是 ， 这 个 漏洞 与 
密码 学 缺陷 并 没有 什么 关系 。 这 个 漏洞 成 为 了 显示 当今 开源 软件 糟糕 的 开发 状态 和 代码 质量 的 确 
谈 证 据 。 

当心 脏 出 血 这 颗 “ 核 弹 ” 爆 炸 之 后 ， 所 有 人 的 目光 都 被 吸引 到 了 OpenSSL 上 。 虽 然 OpenSSL 
项 目 缺 少 资金 支持 而 且 代 码 质量 较 差 的 问题 已 经 暴露 了 很 久 , 但 是 OpenSSL 社 区 最 终 只 能 依靠 这 
样 一 个 巨大 的 漏洞 来 解决 这 些 问题 。 结 果 是 有 好 有 坏 , 具体 怎么 认为 取决 于 你 自己 的 观点 。Linux 
基金 会 宣布 了 一 项 为 期 三 年 ， 名 为 Core Infrastructure Initiative ( 核心 基础 设施 倡议 ) 的 项 目 ， 旨 
在 为 那些 处 于 资金 不 足 状 态 的 开源 项 目 提供 总 额 为 390 万 美元 的 资金 。“ 在 这 个 项 目的 帮助 下 ， 
OpenSSL 随 后 公布 了 确认 和 解决 产品 中 所 存在 问题 的 路 线 图 。” 与 此 同时 ，OpenBSD 社 区 基于 
OpenSSL 项 目 创建 了 自己 的 LibreSSL 分 支 ， 开 始 对 其 进行 快速 迭代 以 期 可 以 改进 代码 的 质量 。" 










































































































































































6.3.1 影响 


因为 OpenSSL 的 代码 中 没有 对 读 长 度 进行 检查 ,攻击 者 可 以 利用 这 个 缺陷 ,在 一 个 心跳 请 求 
中 获取 到 服务 器 进程 中 最 大 为 64 KB 的 数据 。 通 过 发 出 多 个 这 样 的 请 求 ， 攻 击 者 就 可 以 无 限制 地 
获取 内 存 数据 。 如 果 在 服务 器 的 进程 中 存在 一 些 敏 感 信 息 〈 这 是 必然 会 存在 的 )， 攻 击 者 就 可 以 
得 到 这 些 信 息 。 因 为 OpenSSL 主 要 的 工作 是 处 理 加 解密 ,所 以 攻击 者 最 希望 获取 到 的 内 容 就 是 服 
务 器 的 私 钥 。 此 外 也 有 其 他 一 些 有 价值 的 信息 可 以 被 获取 : 会 话 票证 的 密 钥 、TLS 的 会 话 密 钥 以 
及 各 类 密码 等 。 

OpenSSL 从 1.0.1 版 本 到 1.0.1{ 版 本 都 存在 心脏 出 血 漏洞 ; 更 早期 的 版 本 则 不 受 影响 , 例如 0.9.x 
和 1.0.0。 可 想 而 知 ， 数 量 巨大 的 服务 器 都 受到 了 影响 。Netcraft 估 计 ， 这 些 服务 器 的 数量 占 全 球 















































QD Heartbleed，https://en.wikipedia.org/wiki/Heartbleed( 维基 百科 ， 检 索 于 2014 年 5 月 19 日 )。 

© Tech giants, chastened by Heartbleed, finally agree to fund OpenSSL , http://arstechnica.com/information-technology/2014/ 
04/tech-giants-chastened-by-heartbleed-finally-agree-to-fund-openssl/ ( Jon Brodkin，Ars Technica，2014 年 4 月 24 日 )。 

@) OpenSSL Project Roadmap, https://web.archive.org/web/20150815130657/http://openssl.org/about/roadmap.html ( OpenSSL， 
检索 于 2014 年 7 月 17 日 )。 

(@ LibreSSL，http://www.libressl.org/( OpenBSD， 检 索 于 2014 年 7 月 17 日 )。 
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服务 器 总 量 的 17% 左 右 ， 从 数量 上 来 说 ， 这 大 概 是 50 万 台 。” 

值得 注意 的 是 ,到 目前 为 止 几 乎 所 有 受 影响 的 服务 器 都 进行 了 修补 。 在 问题 的 严重 性 、 免 费 
获取 的 检查 工具 以 及 媒体 的 关注 等 多 种 因素 的 共同 作用 下 ， 这 堪 称 TLS 史 上 速度 最 快 的 漏洞 修 
复 。 一 个 全 互联 网 扫描 组 织 宣 称 在 心脏 出 血 漏洞 爆发 之 后 的 一 个 月 后 ， 全 网 有 1.36% 的 HTTPS 服 
务 存在 漏洞 。? 而 与 此 同时 ，SSL Pulse 资 料 显 示 ，Alexa 的 排名 靠 前 的 网 站 中 , 仅 有 0.8% 依 然 存 在 
心脏 出 血 漏洞 。 

在 发 现 漏 洞 之 后 不 久 , 大 部 分 声音 都 是 建议 更 换 私 钥 以 预防 私 钥 泄露 , 但 当时 还 没有 真实 的 
私 钥 泄露 的 案例 发 生 。 这 可 能 是 因为 人 们 起 初 都 忙于 测试 并 修复 漏洞 。 之 后 ， 当 人 们 的 注意 力 回 
到 如 何 利用 这 个 漏洞 进行 攻击 的 时 候 ， 才 明显 注意 到 各 种 窃取 服务 器 私 钥 的 案例 。” 人 们 发 现在 
某 些 情况 下 ， 私 钥 在 经 过 很 多 次 心跳 请 求 后 会 被 窃取 ， 而 在 其 他 情况 下 ， 只 是 一 些 较 少 的 心跳 请 
求 就 会 导致 私 钥 丢 失 ， 而 更 加 高 级 的 利用 漏洞 的 攻击 方法 也 随后 被 发 现 。” 

在 漏洞 被 公开 之 后 不 久 那些 日 子 里 , 利用 此 漏洞 对 网 站 进行 攻击 的 行为 是 非常 狙 狐 的 。 不 仅 
私 钥 是 攻击 者 窃取 的 目标 ,例如 ，Mandiant 报 告 称 ， 他 们 检测 到 一 次 成 功 的 针对 VPN 服 务 器 的 攻 
击 , 这 次 攻击 使 得 多 因子 身份 验证 的 机 制 被 绕 过 。 攻击 者 利用 这 次 攻击 ,成 功 地 从 服务 器 内 存 中 
提取 了 TLS 会 话 密 钥 。® 

加 拿 大 税务 部 门 中 保存 的 社保 号 码 被 窃取 ，Mumsnet 网 站 ( 英国 最 著名 的 育儿 资讯 网 站 ) 的 
用 户 密码 也 被 黑客 获取 。” 

现在 , 有 很 多 公开 的 工具 可 以 很 容易 地 让 任何 人 利用 心脏 出 血 漏洞 在 几 分 钟 内 攻击 一 台 存在 
漏洞 的 服务 器 。 其 中 某 些 工具 十 分 先进 ， 甚 至 可 以 提供 全 自动 化 的 私 钥 获 取 功 能 。 


注意 
如 果 你 希望 了 解 有 关 该 bug 本 身 的 更 多 信息 ， 并 希望 了 解 如 何 针对 易 受 攻击 的 服务 器 
进行 测试 ， 请 参考 12.14 节 。 



















































































QD Half a million widely trusted websites vulnerable to Heartbleed bug, http://news.netcraft.com/archives/2014/04/08/half-a- 
million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html ( Netcraft，2014 年 4 月 8 日 )。 

©® 300k servers vulnerable to Heartbleed one month later, http://blog.erratasec.com/2014/05/300k-servers-vulnerable- 
to-heartbleed.html ( Robert Graham，2014 年 5 月 8 日 )。 

@® The Results of the CloudFlare Challenge, https://blog.cloudflare.com/the-results-of-the-cloudflare-challenge/ ( Nick 
Sullivan，2014 年 4 月 11 日 )。 

(@ Searching for The Prime Suspect: How Heartbleed Leaked Private Keys, https://blog.cloudflare.com/searching-for-the- 








prime-suspect-how-heartbleed-leaked-private-keys/ ( John Graham-Cumming，2014 年 4 月 28 日 )。 

©) Attackers Exploit the Heartbleed OpenSSL Vulnerability to Circumvent Multi-factor Authentication on VPNs, https://www. 
mandiant.com/blog/attackers-exploit-heartbleed-openssl-vulnerability-circumvent-multifactor-authentication-vpns/ 
( Christopher Glyer，2014 年 4 月 18 日 )。 

(© Heartbleed hacks hit Mumsnet and Canada’s tax agency, http://www.bbc.co.uk/news/technology-27028101 ( BBC, 2014 
年 4 月 14 日 )。 
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6.3.2 缓解 方法 


打 补 丁 是 处 理 心脏 出 血 漏洞 的 最 好 方法 。 如 果 你 使 用 的 是 系统 提供 的 OpenSSL 库 ,那么 系统 
的 提供 商 一 定 已 经 提供 了 相应 的 修复 。 如 果 你 是 自己 从 源 代码 编译 OpenSSL, 那么 可 以 重新 编译 
最 新 的 OpenSSL 1.0.1 版 本 。 在 使 用 源 代码 编译 的 情况 下 , 还 可 以 配置 OpenSSL 以 删除 对 心跳 协议 
的 支持 。 这 可 以 通过 使 用 OPENSSL NO_HEARTBEATS 标 志 来 实现 ， 例 如 : 







































































$ ./config -DOPENSSL NO_HEARTBEATS 
$ make 


在 这 之 后 ， 你 可 能 需要 重新 编译 所 有 依赖 OpenSSL 的 静态 软件 包 。 

很 多 产品 ( 例如 一 些 设备 ) 内 能 了 OpenSSL 并 且 很 可 能 存在 风险 。 因 为 它们 没有 针对 心脏 出 
血 给 出 警告 , 这 些 设 备 在 漏洞 公布 的 时 候 都 没有 做 好 修复 的 准备 。 拥 有 很 多 这 类 产品 的 厂商 可 能 
正在 疲 于 应 对 为 所 有 的 产品 发 布 修复 补丁 。 

当 完 成 对 漏洞 本 身 的 修补 之 后 , 将 你 的 注意 力 转 到 那些 可 能 从 服务 器 泄露 的 敏感 数据 上 。 至 
少 ， 你 需要 替换 掉 服 务 器 的 私 钥 ， 去 重新 签发 新 证 书 并 作废 旧 的 证 书 。Netcraft 观 察 了 全 球 范 围 
的 心脏 出 血 漏洞 的 修复 状态 ， 表 示 很 多 网 站 依然 遗漏 了 若干 上 述 步骤 。” 

在 处 理 完 私 钥 和 证 书后 , 再 来 关注 服务 器 内 存 中 可 能 存在 的 其 他 数据 。 会 话 票证 的 对 称 密 钥 
很 明显 是 攻击 者 的 男 一 个 目标 , 需要 将 它们 替换 掉 。 之 后 ,可 以 考虑 一 下 其 他 的 密码 ， 比 如 用 户 
密码 。 根 据 你 的 风险 预测 ， 可 能 需要 建议 或 者 要 求 你 的 用 户 修改 密码 ,就 像 一 些 其 他 网 站 已 经 做 
过 的 那样 。 

心脏 出 血 不 能 获取 访问 数据 库 的 权限 ,至 少 不 能 直接 获取 ; 但 是 可 以 通过 心脏 出 血 间接 地 获 
取 一 些 有 用 的 信息 。 例 如 , 在 一 个 数据 库 驱 动 的 网 站 中 ,每 个 请 求 都 会 使 用 数据 库 密 码 并 使 得 密 
码 留 在 内 存 中 。 替 换 掉 所 有 的 内 部 密码 是 保持 安全 的 最 好 方式 。 

那些 在 心脏 出 血 漏 洞 发 生前 就 部 署 了 前 向 保密 的 网 站 则 处 于 最 佳 的 状态 : 它们 的 历史 加 密 通 
信 无 法 被 泄露 的 服务 器 私 钥 所 解密 。 如 果 你 不 是 处 于 这 种 状态 , 那么 请 现在 就 部 署 前 向 保密 。 这 
就 是 为 什么 这 个 特性 如 此 重要 的 原因 。 

警告 

虽然 我 们 一 直 关 注 的 是 服务 器 端 ， 但 是 客户 端 使 用 有 漏洞 的 OpenSSL 版 本 也 存在 风 
险 。 心跳 是 一 个 双向 协议 。 如 果 一 个 存在 风险 的 客户 端 连接 到 一 个 恶意 服务 器 ， 那 么 
这 个 服务 器 就 可 以 获取 到 客户 端 进 程 的 内 存 数 据 。” 




























































































6.4 FREAK 


2015 年 1 月 ，OpenSSL 发 布 了 一 个 低 严重 级 别 的 公告 ， 和 警告 说 客户 端 会 在 一 个 全 安全 强度 





QD Keys left unchanged in many Heartbleed replacement certificates, http://news.netcraft.com/archives/2014/05/09/keys- 
left-unchanged-in-many-heartbleed-replacement-certificates.html ( Netcraft，2014 年 5 月 9 日 )。 
© Pacemaker, https://github.com/Lekensteyn/pacemaker ( Heartbleed client exploit， 检 索 于 2014 年 5 月 19 日 )。 
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( full-strength ) 的 RSA 握 手 过 程 中 接受 使 用 弱 安 全 强度 的 出 口 RSA 密 钥 。 其 中 关键 在 于 客户 端 并 没 
有 人 允许 协商 任何 出 口 级 别 的 RSA 密 码 套件 .该 问题 被 标识 为 CVE-2015-0204, 没有 引起 太 多 的 注意 。 
一 些 研究 者 关注 到 了 该 公告 背后 的 本 质 原因 ,于 是 开始 研究 基于 此 问题 的 攻击 。 同 年 3 月 初 ， 
他 们 宣布 成 功 地 利用 CVE-2015-0204 对 他 们 自己 和 www.nsa.gov 网 站 的 加 密 通 信 进 行 了 一 次 中 间 
人 攻击 。 同 时 这 些 研究 人 员 给 这 种 攻击 起 了 一 个 名 称 : FREAK ( Factoring RSA Export Keys )。 
这 次 攻击 演示 的 意义 在 于 说 明 互 联网 上 有 大 量 的 服务 器 受到 此 问题 的 威胁 而 容易 遭受 中 间 
人 攻击 。 归 功 于 这 些 研究 者 的 努力 ，CVE-2015-0204 被 重新 标识 为 高 严重 级 别 。 


























6.4.1 出 口 密码 


在 讨论 FREAK 之 前 , 我 们 需要 回 到 20 世 纪 90 年 代 , 了 解 什么 是 出 口 强 度 的 密码 套件 。 在 1998 
年 9 月 之 前 ， 美 国 曾经 限制 出 口 高 强度 的 加 密 算 法 。 具 体 来 说 ， 限 制 对 称 加 密 强 度 为 最 大 40 位 ， 
限制 密 钥 交换 强度 为 最 大 512 位 。 出 口 密码 套件 就 是 为 符合 这 种 限制 而 精心 设计 的 。 

但 是 仅仅 定义 弱 强 度 密码 是 不 够 的 , 为 了 得 到 更 好 的 性 能 , 纯 RSA 握 手 将 身份 验证 和 密 钥 交 
换 捆 绑 到 一 起 。 虽然 出 口 限制 条 例 允许 强身 份 验证 , 但 是 无 法 将 身份 验证 过 程 单独 从 密 钥 交换 过 
程 中 分 离 出 来 。 解 决 方法 是 扩展 握手 协议 以 便 产 生 与 出 口 密码 套件 相 一 致 的 弱 强度 的 RSA 密 钥 。 
这 样 ， 一 个 拥有 高 强度 RSA 密 钥 的 服务 需 依 然 可 以 用 它 来 进行 身份 验证 。 对 于 密 钥 交 换 来 说 ， 服 
务 需 会 生成 一 个 512 位 的 RSA 私 钥 ， 并 在 需要 使 用 出 口 密码 套件 的 时 候 使 用 这 个 私 钥 。” 

出 口 密码 套件 在 2000 年 1 月 之 后 由 于 美国 放松 了 对 密码 技术 的 出 口 控制 而 被 废弃 ， 但 是 支持 
出 口 密码 套件 的 代码 依然 存在 于 为 数 众多 的 SSL/TLS 库 中 。 就 像 已 经 发 生 的 那样 ， 如 果 恶 意 修 改 
SSL 协 议 在 握手 过 程 中 的 某 些 消息 ， 则 这 些 老 旧 代 码 可 能 会 被 重新 触发 使 用 。 


6.4.2 ”攻击 


在 正常 的 RSA 握 手 过 程 中 , 客户 端 随机 生成 预 主 密 钥 , 并 用 服务 器 的 公 钥 加 密 后 发 送 给 服务 
器 。 如 果 RSA 的 密 钥 强度 足够 高 , 则 密 钥 交 换 过 程 也 是 强 安全 级 别 的 。 当 出 口 密码 套件 被 协商 后 ， 
服务 器 生成 一 个 弱 强 度 的 RSA 公 钥 , 使 用 高 强度 的 RSA 私 钥 对 其 签名 , 并 使 用 ServerkeyExchange 
消息 将 签名 后 的 弱 RSA 公 钥 发 给 客户 端 。 之 后 客户 端 使 用 这 个 弱 RSA 公 钥 加 密 预 主 密 钥 以 符合 出 
口 条 例 。 虽 然 公 钥 的 强度 较 低 ,但 是 攻击 者 无 法 随意 使 用 这 个 公 钥 进行 主动 攻击 ， 因 为 针对 公 和 铀 
的 签名 的 强度 依然 很 高 。 


注意 
为 了 理解 本 节 讨 论 的 全 部 内 容 ， 你 需要 了 解 一 些 SSL/TLS 协 议 的 细节 。 如 果 你 对 协议 
细节 还 不 是 很 了 解 ， 那 么 在 继续 之 前 ,请 先 阅读 第 2 章 以 了 解 协议 和 握手 的 相关 细节 。 























































































































GD 另外 一 个 特性 叫 作 服 务 器 网 关 加 密 ( server-gated cryptography，SGC )， 其 引入 是 为 了 仅 让 选 定 服务 器 对 那些 使 用 
弱 加 密 的 客户 端 使 用 强加 密 。 主 要 的 思路 是 在 为 美国 公司 签发 的 证 书 中 加 入 特殊 标记 。 在 发 现 特殊 标记 之 后 ， 客 
户 端 会 透明 地 进行 重新 协商 从 而 使 用 强 密码 策略 。 
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从 当今 的 角度 看 ,出口 密码 套件 的 安全 强度 是 非常 弱 的 。 如 果 使 用 了 这 种 套件 , 那么 密 钥 交 
换 将 基于 一 个 弱 RSA 密 钥 来 进行 。 虽然 攻击 者 无 法 直接 干涉 握手 过 程 , 但 是 可 以 记录 下 握手 的 全 
部 数据 ,之 后 进行 暴力 破解 以 获得 预 主 密 钥 , 并 解密 所 有 的 信息 。 一 个 强大 的 攻击 者 可 以 在 数 分 
钟 甚至 更 少 的 时 间 内 完成 攻击 ; 事实 上 几乎 任何 人 都 可 以 在 几 个 小 时 内 完成 这 种 破解 。 

幸运 的 是 ， 现 代 客 户 端 ( 例如 较 新 的 浏览 器 ) 已 经 不 再 支持 出 口 密码 套件 ， 但 是 FREAK 攻 
击 之 所 以 危害 较 大 ， 是 因为 它 并 不 需要 浏览 器 支持 这 些 套件 。 在 正常 的 RSA 握 手 过 程 中 ， 
ServerKeyExchange 消 息 是 不 允许 发 送 的 。 但 是 有 问题 的 SSL 库 会 继续 处 理 这 个 消息 进而 为 密 钥 交 
换 提供 弱 RSA 密 钥 。” 

为 了 能 够 进行 FREAK 攻 击 ， 攻 击 者 必须 想方设法 让 客户 端 接收 到 一 个 ServerKkeyExchange 消 
息 。 如 果 成 功 的 话 ， 可 以 将 连接 的 安全 强度 减低 到 512 位 。 但 是 这 里 有 两 个 障碍 : (1) 被 注入 的 消 
息 必 须 被 目标 服务 器 上 的 强 RSA 私 钥 签 名 ; (2) 为 了 修改 TLS 握 手 过 程 中 的 消息 , 攻击 者 必须 找到 
方法 来 伪造 Finished 消 息 ， 以 使 得 对 消息 的 修改 变 得 合法 ， 即 使 这 本 应 该 是 只 有 拥有 私 钥 的 服务 
器 才能 完成 的 工作 。FREAK 攻 击 的 过 程 如 图 6-3 所 示 。 

因为 第 一 个 障碍 , 攻击 者 只 能 攻击 支持 使 用 出 口 密码 套件 进行 握手 的 服务 器 。 攻击 者 首先 直 
接连 接 到 服务 器 ,并 只 使 用 出 口 密码 套件 与 服务 器 开始 握手 。 这 触发 了 一 次 使 用 出 口 密码 套件 的 
握手 过 程 ， 并 导致 服务 器 同时 发 送 ServerKeyExchange 消 息 给 攻击 者 。 之 后 的 技巧 就 是 将 Server- 
KeyExchange 消 息 再 发 送 给 受 攻击 的 客户 端 , 虽然 TLS 协 议 对 签名 重 放 攻击 进行 了 防护 , 但 是 这 种 
防御 依赖 客户 端 和 服务 器 端 在 ClientHello 和 ServerHello 消 息 中 的 随机 数 。 然 而 ， 一 个 主动 攻击 
者 可 以 等 到 客户 端 先 发 送 ClientHello 之 后 ， 将 其 中 的 随机 数 发 送 给 服务 器 ， 这 样 产生 的 
ServerKeyExchange 消 息 就 可 以 绕 过 客户 端的 重 放 攻 击 检查 。 

更 大 的 问题 是 如 何 生 成 正确 的 Finished 消 息 。 你 应 该 能 想起 来 这 些 消息 是 对 所 有 握手 数据 进 
行 散 列 之 后 并 用 对 称 密 钥 加 密 得 来 的 ,通信 双方 通过 将 消息 内 容 与 自己 计算 的 数值 进行 对 比 来 进 
行 校 验 。 攻 击 者 没 法 直接 修改 Finished 消 息 内 容 。 然 而 ， 在 现在 这 种 情况 下 ， 攻 击 者 已 经 成 功 地 
将 握手 的 安全 强度 减弱 到 5$12 位 。 如 果 她 可 以 使 用 强大 的 计算 资源 ， 则 可 以 实时 暴力 破解 出 客户 
端 发 出 的 预 主 密 钥 ， 并 获得 对 连接 的 全 部 控制 ， 当 然 这 也 包括 伪造 出 合法 的 Finished 消 息 。 

当今 ，$12 位 的 密 钥 是 不 安全 的 ， 但 是 它们 也 不 是 那么 容易 被 破解 。 当 然 ， 我 们 有 理由 相信 
某 些 组 织 可 以 实时 破解 掉 这 些 密 钥 , 但 是 这 并 不 是 所 有 人 都 需要 担心 的 首要 问题 。 因 为 事实 情况 
比 这 还 要 糟糕 。 为 了 性 能 的 原因 ， 相 对 于 为 每 次 握手 生成 新 的 密 钥 ,一 些 服务 器 只 生成 一 个 弱 
密 钥 并 重复 使 用 一 段 时 间 。 有 时 重复 使 用 的 时 间 很 长 ， 长 到 哪怕 一 个 只 拥有 普通 资源 的 攻击 者 
都 有 足够 的 时 间 来 破解 它 。 这 也 就 是 之 前 的 那些 研究 人 员 做 的 事情 。 他 们 定位 了 一 个 重复 使 用 
密 钥 的 服务 器 , 然后 花 100 美 元 在 AWS EC2 上 购买 了 一 些 云 计算 资源 , 最 后 用 7 个 小 时 破解 了 这 个 









































































































































































































































@ 讽刺 的 是 ，OpenSSL 将 这 个 行为 实现 成 一 个 “特性 ”( 可 以 参考 SSL OP_EPHEMERAL RSA 配 置 选项 的 文档 ) RSA 密 钥 
交换 不 提供 向 前 保密 ， 因 为 服务 器 私 钥 是 用 来 保护 全 部 的 预 主 密 钥 。 因 为 私 钥 会 静态 存在 很 长 时 间 ， 任 何 拿 到 这 
个 私 钥 的 人 都 可 以 破解 之 前 的 全 部 流量 。 然 而 ， 你 每 次 都 生成 一 个 全 新 的 RSA 私 钥 ， 每 个 连接 就 会 使 用 不 用 的 私 
钥 加 密 (虽然 私 钥 强 度 较 弱 )。 当 时 ,为 了 这 个 目的 而 使 用 512 位 的 私 钥 看 起 来 不 像 今天 这 样 糟糕 ,或 者 当时 他 们 
也 许 没有 想到 某 些 实现 会 重用 这 些 弱 密 钥 。 
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密 钥 。" 使 用 这 个 密 钥 ， 研 究 人 员 可 以 很 容易 地 对 有 风险 的 客户 端 肆 意 进 行 中 间 人 攻击 ， 只 要 这 
个 密 钥 依 然 在 服务 器 上 保持 不 变 即 可 。 这 真是 聪明 ! 











客户 并 攻击 者 服务 器 


攻击 者 修改 

ServeirHel1o[ 以 
提供 一 个 可 接 
ee 受 的 RSA 密 码 


ClientHel 套件 
攻击 者 修改 


ClLientHello 以 仅 
提供 出 口 套件 


CS 




























ServerHello 














Mp ServerKeyExchange 
客户 端 接受 意外 的 2 名 
ServerkeyExchange 消 且 包含 个 弱 512 
间作 帘 钥 交 拍 | 位 RSA 密 钥 ， 该 密 
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图 6-3 ”FREAK 攻击 





QD Attack of the week: FREAK (or ‘factoring the NSA for fun and profit’ ), http://blog.cryptographyengineering.com/2015/03/ 
attack-of-week-freak-or-factoring-nsa.html ( Matthew Green, 2015 年 3 月 3 日 )。 
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6.4.3 ”影响 和 缓解 方法 


一 开始 ,人们 以 为 只 有 OpenSSL 会 受到 FREAK 的 威胁 。 虽然 在 客户 端 大 部 分 浏览 器 都 不 使 用 
OpenSSL, 但 是 OpenSSL 有 一 个 很 大 的 客户 端 用 户 是 Android 系 统 , 这 使 得 数 以 十 亿 计 的 智能 手机 
存在 潜在 的 风险 。 这 不 仅仅 影响 浏览 器 ， 也 影响 平台 上 的 其 他 应 用 程序 。” 

之 后 攻击 面 扩 大 了 ， 这 是 因为 人 们 发 现 Secure Transport ( Apple 的 SSL/TLS 库 ) 和 Schannel 
( Microsoft 的 SSL/TLS 库 ) 也 存在 同样 的 问题 。“ 其 他 较 少 使 用 的 库 和 平台 也 同样 发 现 了 问题 。 主 
流 浏览 器 中 ， 唯 一 不 受 影响 的 只 有 Firefox。 

Secure Transport* 和 Schannel 在 发 现 问题 后 就 得 到 了 快速 的 修复 ， 但 是 即使 如 此 ， 由 于 部 署 
的 多 样 性 , 很 难 准确 地 讲 哪些 使 用 这 些 库 的 产品 是 不 再 受到 威胁 的 。 例如 , 在 撰写 这 本 书 的 时 候 ， 
对 于 Secure Transport 的 修复 只 在 OSX v10.8.x 和 iOS 8.2 之 后 的 版 本 上 提供 , 老 的 版 本 依然 存在 这 个 
漏洞 ”。 最 好 的 方法 就 是 对 你 的 设备 进行 一 次 测试 ， 例 如 使 用 SSL Labs 提 供 的 工具 ®。 


注意 
FREAK 攻 击 很 好 地 提醒 了 人 们 ， 移 除 老 旧 和 无 用 的 功能 是 非常 明智 的 选择 。 这 样 可 
以 减 小 攻击 面 ， 也 就 降低 了 风险 。 


对 于 服务 器 运 维 人 员 的 建议 是 移 除 对 出 口 密码 套件 的 支持 ， 因 为 这 是 完成 攻击 的 必要 条 件 。 
任何 服务 器 都 不 应 该 优先 使 用 这 类 低 强度 的 套件 , 但 是 管理 员 在 移 除 过 时 的 协议 特性 时 通常 会 显 
得 比较 保守 。 根 据 专门 对 FREAK 进 行 跟踪 的 网 站 的 数据 ， 互 联网 上 将 近 四 分 之 一 的 服务 器 还 在 
使 用 过 时 的 密码 套件 ， 并 可 能 存在 潜在 威胁 。 

并 不 是 所 有 这 些 服务 器 都 面临 同样 级 别 的 危险 。 据 估计 , 大 概 三 分 之 二 的 服务 器 使 用 的 是 重 
复 弱 密 钥 ， 其 他 的 服务 器 则 会 为 每 次 握手 重新 生成 新 的 密 钥 。” 


























































































































QD HTTPS-crippling FREAK exploit affects thousands of Android and iOS apps, http://arstechnica.com/security/2015/03/ 
https-crippling-freak-exploit-hits-thousands-of-android-and-ios-apps/ (Ars Technica，2015 年 3 月 17 日 )。 

人 @) Stop the presses: HTTPS-crippling “FREAK” bug affects Windows after all, http://arstechnica.com/security/2015/03/stop- 
the-presses-https-crippling-freak-bug-affects-windows-after-all/ ( Ars Technica，2015 年 3 月 6 日 )。 

@) About Security Update 2015-002,，https://support.apple.com/en-us/HT204413 ( Apple，2015 年 3 月 9 日 )。 

由 Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass, https://technet.microsoft. 
com/en-us/library/security/3046015.aspx( Microsoft，2015 年 3 月 5 日 )。 

©) About the security content of iOS 8.2, https://support.apple.com/en-us/HT204423 ( Apple，2015 年 3 月 9 日 )。 

© SSL Labs Client Test, https://www.ssllabs.com/ssltest/( Qualys， 检 索 于 2015 年 3 月 21 日 )。 

© Tracking the FREAK Attack ,https://freakattack.com/( University of Michigan， 检索 于 2015 年 3 月 21 日 )。 

GitHub Gist: Temporary RSA 512 Bit Keylife for FREAK attack, https://gist.github.com/Valdik SS/f4ba45198fe69c349e9c 
(ValdikSS ， 检 索 于 2015 年 3 月 21 日 )。 





























针对 SSL 和 TLS 的 状态 机 攻击 


FREAK 是 miTLS 发 现 的 若干 问题 中 的 一 个 -miTLS 是 Microsoft Research-Inria Joint Centre” 
(Microsoft- 法 立 计算 机 及 自动 化 研究 院 联 合 研究 中 心 ) 发 起 并 运行 的 项 目 。miTLS 是 对 
TLS 协 议 的 一 个 验证 参考 实现 。“ 在 开发 miTLS 的 时 候 ， 作 者 们 研究 并 改进 TLS 协 议 的 安全 性 。 
FREAK 攻 击 被 包括 在 他 们 的 关于 攻击 TLS 状 态 机 的 工作 之 中 ， 这 项 工作 已 经 发 现 了 会 引起 一 
个 或 几 个 实际 攻击 的 大 量 的 实现 缺陷 。 你 可 以 在 他 们 的 网 站 上 找到 更 多 的 相关 信息 : 


Www.Smacktls.com。 








6.5 Logjam 


在 2015 年 1 月 出 现 FREAK 攻 击 之 后 ， 那 些 对 SSL 和 TLS 协 议 有 着 深入 理解 的 人 们 便 知 道 ， 出 
现 针对 临时 Diffie-Hellman (ephemeral Diffie-Hellman，DHE ) 密 钥 交 换算 法 的 类 似 攻 击 只 是 时 间 
问题 。FREAK 攻 击 针对 的 是 RSA 密 钥 交 换算 法 ， 但 是 出 口 密码 套件 对 于 DHE 也 要 有 一 个 类 似 的 
降级 机 制 (只 有 512 位 的 安全 强度 )。 如 果 你 能 够 攻击 一 个 弱 的 密 钥 交换 机 制 ,那么 是 否 确 定 也 能 
攻击 其 他 的 弱 密 钥 交 换 机 制 ? 然而 , 当 一 个 叫 作 Logjam 的 新 漏洞 "在 2015 年 5 月 被 一 个 14 人 的 团队 
发 现 之 后 ,我 们 不 仅 确定 了 上 述 问题 ， 而 且 还 有 了 其 他 更 多 的 收获 。 这 个 攻击 的 名 称 是 一 个 双关 
语 ， 它 参考 了 离散 对 数 问 题 (discrete logarithm problem，DLP ) 这 个 名 称 ， 这 是 构成 DH 密 钥 交 换 
机 制 的 一 个 单 向 函数 。 


6.5.1 针对 不 安全 DHE 密 钥 交换 的 主动 攻击 


最 早 被 发 现 的 攻击 ， 其 过 程 是 一 个 主动 的 网 络 攻击 者 (我 们 叫 她 Mallory ) 首先 拦截 受害 者 

的 TLS 连 接 ,， 然后 迫使 其 使 用 较 弱 的 DHE 密 钥 交 换算 法 ,这 种 安全 强度 较 弱 的 算法 可 以 被 实时 破 

解 。 这 种 攻击 复制 了 FREAK 攻 击 的 原理 。 因 为 它们 的 相似 性 ， 我 不 准备 花费 很 多 时 间 来 讨论 
Logjam 攻 击 的 细节 ; 相反 ， 我 假设 你 已 经 对 FREAK 攻 击 很 了 解 ， 因 此 下 面 只 列 出 两 者 的 差异 。 

口 服务 器 愿意 使 用 不 安全 的 DH 参 数 

在 DHE 密 钥 交换 算法 中 ， 服 务 器 生成 临时 密 钥 并 且 使 用 私 钥 对 这 些 数据 进行 签名 以 便 进 
行 身 份 验证 。Logjam 攻 击 要 想 成 功 ， 服 务 器 必须 愿意 使 用 弱 的 临时 密 钥 ( 例如 512 位 )。 

这 种 情况 在 服务 器 使 用 出 口 DHE 密 码 套 件 的 情况 下 很 常见 ， 因 为 在 这 种 情况 下 密 钥 的 长 










































































GD 这 是 Microsoft 研 究 院 和 Inria (一 个 致力 于 计算 科学 研究 的 公共 研究 组 织 ) 的 合作 。 你 可 以 在 网 站 www.msr-inria. 位 
上 找到 更 多 的 信息 。 

©® miTLS, http://www.mitls.org/wsgi/home ( Microsoft Research-Inria Joint Centre， 检索 于 2015 年 3 月 21 日 )。 

® A Messy State of the Union: Taming the Composite State Machines of TLS, https:/www.smacktls.com/smack.pdf ( Beur- 
douche 等 ，2015 年 3 月 )。 

(@ The Logjam Attack，https://weakdh.org/( Adrian 等 ， 发 表 于 2015 年 5 月 20 日 )。 
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度 会 被 限制 在 5312 位 。 如 果 条 件 合适 , Mallory 可 以 迫使 服务 器 降级 使 用 弱 的 DHE 密 钥 交 换 
方法 并 对 其 进行 破解 ， 这 与 FREAK 的 方法 是 完全 一 样 的 。 

在 某 些 情况 下 ， 如 果 服 务 器 本 身 使 用 了 不 安全 的 DHE 参 数 ， 不 安全 的 服务 器 也 可 能 被 动 
地 遭受 攻击 。 然 而 ， 这 很 不 常见 ， 因 为 大 多 数 客户 端 不 支持 出 口 密码 套件 ， 而 这 种 套件 
展现 出 了 最 大 的 攻击 面 。 此 外 ， 大 部 分 服务 器 更 倾向 于 使 用 速度 更 快 的 ECDHE 和 RSA 密 
钥 交 换算 法 。 这 意味 着 使 用 DHE 的 可 能 性 会 比较 小 。 

口 服务 器 缓存 临时 DH 密 铀 
为 了 使 一 个 主动 攻击 奏效 ，Mallory 必 须 拦 截 原始 的 TLS 握 手 ， 并 从 中 迫使 其 使 用 不 安全 
的 加 密 , 然后 生成 正确 的 Finished 消 息 以 避免 被 发 现 。 这 意味 着 她 必须 在 一 分 钟 内 破解 512 
位 的 密 钥 , 这 是 大 多 数 现代 浏览 器 对 TLS 握 手 失败 的 超时 等 待 时 间 。 在 这 些 限 制 下 , 实施 
攻击 是 非常 困难 的 ， 即 使 对 于 一 个 装备 精良 的 攻击 者 来 说 也 是 如 此 。 
然而 ， 某 些 服 务 器 会 很 不 明智 地 缓存 它们 的 “临时 ” 密 钥 。 对 于 存在 这 种 行为 的 服务 器 ， 
Mallory 可 以 实现 破解 临时 密 钥 并 在 后 续 使 用 这 个 结果 来 进行 实时 攻击 ， 攻 击 的 有 效 时 间 

范围 等 同 于 服务 器 缓存 密 钥 的 时 间 。 当 临时 密 钥 发 生变 化 的 时 候 ， 如 果 Mallory 需 要 继续 

进行 攻击 ， 就 可 以 再 次 破解 密 钥 。 

援引 上 自 论 文 ， 大 概 有 15% 服 务 器 会 缓存 密 钥 ， 但 是 只 有 0.1% 左 右 的 服务 器 使 用 可 以 被 实 

时 破解 的 512 位 DH 参数 。 值 得 注意 的 是 ，Microsoft IIS 将 会 缓存 2 个 小 时 的 密 钥 。OpenSSL 

中 有 一 个 开关 来 控制 这 个 行为 ,但 是 最 流行 的 Web 服 务 器 ( Apache 和 Nginx ) 都 不 使 用 这 
个 行为 。 

口 客户 端 愿意 接 受 弱 DH 参数 
Logjam 只 在 客户 端 会 使 用 弱 DH 人 参数 的 时 候 才 能 奏效 。 不 幸 的 是 , 在 发 现 攻 击 时 ， 所 有 主 
流 浏览 器 都 接受 使 用 512 位 的 不 安全 密 钥 交换 。 攻击 其 至 对 于 那些 不 使 用 出 口 DHE 套 件 的 
客户 端 起 作用 ， 这 是 因为 DH 套件 ( 无论 是 否 是 出 口 ) 没有 指定 密 钥 交 换 的 强度 。 在 实际 
中 ， 密 钥 交 换 的 强度 是 由 服务 器 来 决定 的 。 

虽然 可 以 说 是 浏览 器 (或 者 其 他 客户 端 ) 接受 不 安全 的 DH 参数 才 使 得 Logjam 攻 击 成 为 可 能 ， 

但 是 这 个 攻击 也 揭示 出 了 TLS 协 议 中 的 一 个 缺陷 。 可 以 回忆 一 下 ，FREAK 攻 击 利用 了 客户 端的 

TLS 协 议 实现 缺陷 ， 该 缺陷 使 得 协议 上 不 允许 出 现 ServerKeyExchange 的 环节 中 可 以 出 现 这 条 消 

息 。Logjam 不 需要 利用 实现 上 的 缺陷 ， 因 为 它 利 用 的 是 协议 上 的 弱点 : 服务 器 对 于 DH 参数 的 签 

名 可 以 被 重 放 。 对 于 签名 的 设计 ，TLS 确 实 有 重 放 保护 机 制 ， 但 是 这 个 保护 机 制 只 依赖 唯一 的 客 

户 端 和 服务 器 端 随机 数 。 问 题 是 , 一 个 主动 攻击 者 可 以 通过 观察 客户 端 提 供 的 值 并 将 它 使 用 在 不 

同 的 握手 中 来 同步 这 些 随 机 数 。 关 键 的 是 , 这 个 缺陷 可 以 导致 攻击 者 强迫 握手 协商 出 原本 不 会 使 

用 的 密码 套件 。 


6.5.2 ”针对 不 安全 DHE 密 钥 交 换 的 预先 计算 攻击 
6.5.1 节 所 描述 的 针对 不 安全 DHE 密 钥 交 换算 法 的 主动 攻击 很 巧妙 , 但 是 受 限 于 服务 器 需要 多 
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许 512 位 的 不 安全 DH 参数 和 对 临时 密 钥 的 缓存 。 对 于 更 高 安全 强度 的 攻击 是 不 可 行 的 。 在 攻击 被 
发 现 的 时 候 ,， 也 有 服务 器 在 使 用 768 位 的 DH 参数 ,但 是 更 多 的 服务 器 在 使 用 1024 位 参数 。 直 接 攻 
击 这 种 强度 是 没有 办 法 的 ,即使 对 于 政府 机 构 。 然 而 ,这 就 是 预先 计算 攻击 ( precomputation attack ) 
诞生 的 原因 。 

为 了 理解 预先 计算 攻击 ， 你 需要 知道 DH 密 钥 交换 算法 是 基于 双方 协商 出 的 域 参 数 来 执行 各 
种 操作 的 。 这 个 域 参数 包含 两 个 值 : 一 个 是 素数 p， 另外 一 个 是 生成 元 g。 实 际 来 讲 ， 这 些 参数 是 
用 来 扰乱 密 钥 交 换 过 程 的 ， 并 会 使 某 些 数 学 计算 对 于 攻击 者 来 说 很 难 。Mallory 知 道 这 些 参数 ， 
因为 它们 是 公开 的 ( 例如， 在 TLS 1.3 之 前 ， 这 些 参数 由 服务 器 通过 网 络 发 送 )， 但 是 这 并 不 能 帮 
助 完 成 攻击 。 为 了 能 破解 密 钥 交换 ，Mallory 必 须要 知道 握手 过 程 中 生成 的 两 个 临时 密 钥 之 一 。 
在 本 节 的 剩余 部 分 ， 我 将 假设 她 选择 的 是 服务 器 端 密 钥 y。 

当前 已 知 的 对 DH 密 钥 交 换 的 最 佳 方法 是 使 用 数 域 筛子 ( number field sieve, NFS )。 对 Logjam 
攻击 的 研究 所 获得 的 突破 性 进展 是 ，NEFS 可 以 分 成 两 个 主要 步 又 。 第 一 个 步 又 是 最 费力 的 ， 但 关 
键 的 是 ， 这 个 步 又 中 的 计算 只 依赖 参数 中 的 素数 。 这 意味 着 ， 一 旦 第 一 步 产 生 了 结果 ， 就 可 以 立 
即 用 来 破解 任何 使 用 相同 素数 的 密 钥 交 换 过 程 中 产生 的 临时 密 钥 。 为 了 进行 说 明 , 论文 的 作者 们 
进行 了 一 项 试验 ， 在 试验 中 ， 针 对 512 位 素数 的 预先 计算 攻击 耗费 了 一 周 的 时 间 。 在 这 之 后 ， 论 
文 的 作者 们 可 以 在 60 秒 内 对 任何 单独 的 密 钥 交 换 ( 使 用 相同 的 素数 ) 进行 攻击 。 

当 考 虑 到 预先 计算 的 时 候 ， 针 对 512 位 的 DH 参数 的 主动 攻击 是 几乎 人 人 可 以 完成 的 。 但 是 ， 
768 位 和 1024 位 的 强度 又 会 有 多 人 么 安全 呢 ? 


6.5.3 ”针对 弱 DH 密 钥 交换 的 状态 -水 平 威胁 


基于 他 们 自己 破解 5312 位 DH 参数 的 经 验 , 并 结合 实验 以 及 来 自 其 他 来 源 的 可 靠 信息 , 研究 者 
们 估计 出 了 破解 掉 768 位 和 1024 位 参数 所 需 的 大 概 时 间 。 你 可 以 从 下 面 的 表 6-2 中 看 到 结论 。 很 明 
显 ， 随 着 安全 强度 的 升 高 ， 攻 击 者 的 开销 会 显著 增 大 。 


表 6-2 ”针对 弱 DH 参 数 进行 攻击 的 估计 开销 来源: Adrian 等 ) 





























































































































预先 计算 (核心 年 ) 单 次 攻击 核心 时 间 ) 
DH-512 10 10 分 钟 
DH-768 36 500 2 天 
DH-1024 45 000 000 30 天 


然而 ,考虑 到 这 些 计算 都 是 可 以 高 度 并 行 的 以 及 攻击 可 以 进一步 优化 , 研究 者 总 结 出 破解 768 
位 的 参数 对 于 学 院 研 究 者 来 说 是 触手 可 及 的 。 对 于 1024 位 的 参数 , 研究 者 估计 可 以 完成 任务 的 特 
殊 硬件 的 开销 应 该 在 数 亿 美元 这 个 量 级 ， 然 后 攻击 者 需要 花费 一 年 的 时 间 来 完成 破解 。 

此 刻 , 你 可 能 会 认为 花费 数 亿 美元 只 为 了 破解 一 个 1024 位 的 参数 是 很 昂贵 的 。 你 有 可 能 是 对 
的 。 不 幸 的 是 , 攻击 者 的 工作 因为 很 多 应 用 程序 重用 所 谓 的 标准 组 ( standard group ) 而 变 得 简单 。 
这 也 就 是 说 很 多 服务 器 都 在 使 用 同一 个 素数 。 正 是 因为 这 一 点 , 一 次 预先 计算 的 结果 可 以 用 在 上 
千 其 至 上 万 的 服务 右上。 
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注意 

在 Logjam 攻 击 被 发 现 之 后 , 使 用 标准 组 看 起 来 不 是 很 安全 , 但 是 依然 有 很 好 的 理由 来 
继续 使 用 它们 。 最 近 关 于 安全 协议 的 经 验 显 示 , 协议 的 设计 者 应 该 尽 可 能 多 地 完成 自 
己 的 工作 。 当 实现 者 不 需要 考虑 过 多 的 时 候 , 他 们 犯错 误 的 概率 也 会 相应 减 小 。 例 如 ， 
即使 在 Logjam 的 研究 报告 中 也 有 两 个 小 节 是 专注 于 如 何 利 用 生成 的 DH 参 数 进 行 攻击 
的 。 如 果 使 用 的 是 标准 参数 ,这 些 问题 就 不 会 发 生 。 Logjam 发 现 的 真正 问题 是 当下 使 
用 的 标准 参数 的 强度 不 够 。 


6.5.4 ”影响 


Logjam 的 影响 基于 不 同 的 攻击 形态 而 区 别 很 大 。 在 最 坏 的 情况 下 , 服务 器 默 认 使 用 DHE 密 钥 
交换 算法 并 使 用 512 位 的 参数 。 这 样 被 动 攻击 者 会 轻易 地 破解 他 们 的 流量 并 记录 下 会 话 内 容 。 下 
一 种 场景 是 服务 器 使 用 了 不 安全 的 参数 ， 但 是 默认 会 优先 使 用 ECDHE 或 者 RSA 密 钥 交换 算法 。 
这 些 服务 器 可 能 被 主动 攻击 者 攻击 , 但 是 首先 它们 要 成 为 足够 重要 的 攻击 目标 。 如 果 这 些 服务 器 
使 用 的 是 通用 DH 参 数 ， 归 功 于 预先 计算 攻击 ， 进 行 主动 攻击 的 开销 会 小 得 多 。 

根据 研究 者 的 结论 ， 攻 破 了 1024 位 参数 的 攻击 者 可 以 对 大 约 6.56% 的 HTTPS 服 务 器 进行 被 动 
攻击 ， 而 攻破 了 10 个 通用 组 的 攻击 者 可 以 对 大 约 10% 的 服务 器 进行 攻击 。 一 个 主动 的 攻击 者 可 能 
分 别 攻破 12.8% 和 23.8% 的 服务 器 。 


注意 

作为 一 个 主动 攻击 者 , 要 想 攻 击 成 功 , Mallory 必 须 在 最 多 1 分 钟 内 攻破 密 钥 交换 过 程 。 
然而 ， 现 代 浏 览 器 支持 一 个 叫 作 False Start 的 机 制 ， 这 种 机 制 为 了 性 能 而 减弱 了 安全 
性 。 这 种 浏览 器 在 校 验 TLS 握 手 完整 性 之 前 就 发 送 了 HTTP 请 求 。 如 果 针 对 这 类 浏览 
器 进行 攻击 ，Mallory 也 许 没 必要 实时 攻破 密 钥 交换 。 因 为 HTTP 请 求 通常 含有 敏感 信 
息 (例如 ，Cookie 和 密码 )， 这 对 后 续 破解 密 钥 交换 可 能 是 有 用 的 。 有 关 False Start 的 
更 多 信息 ， 请 参考 9.2.1 节 中 的 False Start 部 分 。 


针对 TLS 协 议 之 外 的 被 动 攻击 更 加 有 趣 。 像 SSH 和 IPsec 这 类 协议 处 理 大 量 的 流量 ， 它 们 也 倾 
向 于 使 用 1024 位 的 DH 参数 ， 通 常 是 标准 组 。 对 于 SSH， 举 例 来 说 ， 作 者 们 估计 攻破 了 一 个 标准 
组 (1024 位 Oakley Group 2 ) 的 攻击 者 可 以 被 动 地 攻击 25.7% ( 360 万 ) 的 服务 器 。 对 于 IPsec， 情 
况 更 加 糟糕 ， 同 样 的 攻击 者 可 以 攻击 超过 60% 的 服务 器 。 



























































NSA 在 破解 1024 位 的 Diffie-Hellman 密 钥 交 换 吗 ? 
Logjam 的 作者 们 相信 NSA 有 能 力 破解 至 少 一 小 部 分 1024 位 DH 参数 组 , 但 是 NSA 是 否 在 做 
这 些 事情 呢 ? 鉴于 NSA 的 年 度 预算 超过 100 亿 美元 , 他 们 是 有 这 种 财力 的 。Logjam 攻 击 和 早期 
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的 发 现 吻合 : NSA 看 起 来 可 以 解密 大 量 的 VPN 流 量 。 这 个 信息 来 源 于 由 爱德华 . 斯 诺 登 泄露 
的 机 密 文 件 ， 并 由 德国 《明镜 周刊 》 在 2014 年 12 月 发 表 。" 虽然 文档 没 说 明 加 密 数 据 是 如 何 破 
解 的 ， 但 是 却 展示 了 系统 架构 和 输入 需求 。 其 中 就 包括 对 1024 位 Diffie-Hellman 密 钥 交 换算 法 
的 有 效 破解 。 





6.5.5 缓解 方法 


尽管 存在 潜在 的 损失 ，Logjam 也 是 很 容易 缓解 的 。 第 一 步 ， 禁用 出 口 套件 这 个 老 古董 ,这 对 
于 解决 紧急 问题 (容易 被 攻击 ) 来 说 通常 足够 了 。 第 二 步 , 如 果 在 你 的 配置 中 存在 某 些 DHE 套 件 ， 
确保 它们 使 用 的 是 2048 位 的 参数 。 不 要 使 用 低 于 1024 位 的 参数 。 

取决 于 你 的 目标 用 户 , 将 DH 参 数 的 强度 增强 到 2048 位 不 是 一 跃 而 就 的 。 主 要 的 问题 是 Java 6 
客户 端 不 支持 高 于 1024 位 强度 的 参数 。? 

如 果 你 纠结 于 支持 Java 6 还 是 使 用 更 高 强度 的 算法 ， 有 两 个 选择 。 第 一 ， 依 然 使 用 1024 位 的 
参数 ， 但 是 确保 没有 使 用 标准 组 : 为 每 个 服务 器 生成 一 个 独立 的 参数 。 

第 二 , 完全 禁用 DHE 算 法 。 这 是 因为 DHE 并 不 是 一 个 很 流行 的 密 钥 交换 算法 。 很 多 人 不 喜欢 
DHE 是 因为 该 算法 比 其 他 算法 要 慢 , 例如 RSA 和 ECDHE( 如 果 你 对 性 能 很 好 奇 , 可 以 参考 第 9 章 )。 
但 是 你 不 应 该 使 用 RSA 算 法 ， 因 为 它 不 提供 前 向 保密 ， 因 此 ECDHE 就 变 成 了 绝对 的 赢家 ， 因 为 
它 兼顾 了 性 能 和 安全 性 。 因 为 几乎 所 有 现代 浏览 器 都 支持 ECDHE ， 使 得 禁用 DHE 并 不 会 影响 你 
的 安全 。 唯 一 可 能 的 影响 就 是 一 小 部 分 的 流量 可 能 会 丢失 掉 前 向 保密 。 

被 发 现 支持 不 安全 DH 参数 的 那些 浏览 器 厂商 已 经 作出 保证 要 将 最 小 安全 强度 增强 到 一 个 安 
全 的 值 。 正 浏览 器 已 经 将 强度 增加 到 1024 位 ; Chrome 和 Firefox 也 将 会 跟随 这 一 做 法 。Safari 则 增 
强 到 768 位 。OpenSSL 将 默认 强度 提高 到 768 位 ， 并 在 不 远 的 将 来 会 提高 到 1024 位 。 


6.6 协议 降级 攻击 


协议 降级 攻击 是 指 攻击 者 作为 中 间 人 企图 修改 TLS 握 手 过 程 中 的 连接 参数 。 具 体 思路 是 ， 攻 
击 者 希望 迫使 握手 使 用 一 个 低 等 级 的 协议 或 者 使 用 低 强度 的 密码 套件 。 在 SSL 2 中 ， 这 类 攻击 是 
很 容易 发 生 的， 因为 该 协议 不 提供 握手 的 完整 性 校 验 。 后 续 的 SSL 协 议 则 提供 握手 完整 性 校 验 以 
及 其 他 的 附加 手段 来 检测 类 似 的 攻击 。 

然而 , 协议 设计 者 没有 想到 的 是 由 协议 演进 而 带 来 的 协议 互 操 作 性 问题 。 浏览 絮 会 尽 最 大 可 
能 与 所 有 服务 器 进行 通信 。 不 幸 的 是 ,在 TLS 协 议 上 ， 这 种 尝试 会 导致 安全 风险 ， 因 为 浏览 器 为 
了 兼容 服务 器 ， 会 降低 它们 的 安全 能 力 ， 也 就 是 为 了 互 操作 性 而 降低 安全 性 。 
































































































































































































































QD Prying Eyes: Inside the NSA’s War on Internet Security，http:/www.spiegel.de/international/germany/inside-the-nsa-s- 
war-on-internet-security-a-1010361.html (《 明镜 周刊 》 2014 年 12 月 )。 

@ Java 7 客户 端 也 不 支持 。 然 而 它们 默认 支持 ECDHE 密 钥 交换 算法 ， 这 意味 着 你 可 以 将 服务 器 配置 成 使 用 ECDHE 并 
永远 不 去 尝试 DHE 算 法 。 
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6.6.1 SSL 3 中 的 回 退 保护 


在 SSL 2 中 ,没有 机 制 来 保证 握手 的 完整 性 ， 因 此 该 协议 存在 降级 攻击 的 风险 。 结 果 ， 作 为 
中 间 人 的 攻击 者 总 是 可 以 迫使 一 次 握手 使 用 安全 强度 最 低 的 协议 参数 。 握 手 完整 性 校 验 在 SSL 3 
中 引入 ， 这 也 是 SSL 3 协议 的 一 个 主要 完善 之 处 。 

但 是 为 了 在 SSL 3 中 提供 握手 完整 性 校 验 ( 也 包括 其 他 的 一 些 改 进 )，SSL 3 必须 修改 初始 握 
手 请 求 的 格式 ( ClientHello )。 此 外 ， 可 以 理解 新 协议 的 服务 器 会 自动 升级 到 新 的 格式 与 客户 端 
兼容 ， 如 果 客 户 端 也 同样 支持 的 话 。 但 是 依然 遗留 了 以 下 几 个 问题 。 

(D 虽然 SSL 3 协议 提供 了 完整 性 检查 ， 但 是 实际 上 你 无 法 使 用 这 个 功能 ， 因 为 大 部 分 服务 器 
只 能 处 理 SSL 2。 

(2) 即使 是 支持 SSL 3 的 服务 器 ， 如 果 有 主动 的 中 间 人 攻击 者 ， 他 依然 可 以 截获 连接 并 对 客户 
端 伪装 成 只 支持 SSL 2 的 服务 器 。 

(3) 如 果 你 随后 使 用 了 SSL 2 握手 ， 那 么 就 没有 了 协议 完整 性 校 验 ， 中 间 人 攻击 也 会 成 功 。 

为 了 应 对 这 些 漏洞 ，SSL 3 引入 了 协议 回 退 保护 机 制 "， 该 机 制 可 以 让 文 持 SSL 3 的 客户 端 和 
服务 器 能 检测 出 它们 正 遭 受 攻击 。 当 一 个 SSL 3 的 客户 端 因为 兼容 性 问题 回 退 到 SSL 2 时 ， 他 将 
RSA 密 钥 的 PKCS#1 块 按照 特殊 方式 重新 编排 。? 在 SSL 2 中， 块 结 尾 必须 包含 至 少 8 字 节 的 随机 数 
据 ; SSL3 客 户 端 则 用 oxo3 填 充 这 8 字 节 。 这 样 ， 如 果 一 个 SSL 3 的 客户 端 被 强迫 降级 到 SSL2， 则 
SSL3 服 务 器 会 注意 到 这 个 特殊 的 格式 ， 从 而 发 现 攻 击 并 结束 握手 。 仅 仅 支 持 SSL2 的 服务 器 不 会 
读 取 这 些 填 充 数据 ， 因 此 握手 可 以 继续 进行 。 

还 有 一 个 漏洞 可 以 破坏 回 退 保护 机 制 。 在 SSL 2 中 ， 主 密 钥 的 长 度 反映 了 协商 出 的 密码 套件 
的 长 度 ; 在 最 坏 的 情况 下 ， 只 有 40 位 。 此 外 , 是 客户 端 来 选择 服务 器 支持 的 密码 套件 ， 生 成 主 密 
钥 , 将 其 用 公 钥 加 密 后 发 送 到 服务 器 。 服 务 器 用 RSA 私 钥 解 密 消息 ， 获 取 主 密 钥 ,然后 向 客户 端 
证 明 身 份 。 

对 于 中 间 人 攻击 者 来 说 ,暴力 破解 RSA 密 钥 工 作 量 较 大 , 但 是 能 攻击 较 弱 的 主 密 钥 。 他 可 以 
伪装 成 服务 器 并 仅仅 提供 40 位 的 套件 ,然后 暴力 破解 主 密 钥 ,最 后 完成 握手 。 在 当今 的 计算 能 
下 ,这 种 破解 是 很 简单 的 。 这 种 攻击 的 影响 在 今天 几乎 可 以 忽略 ,因为 上 只 有 极 少 的 客户 端 还 在 支 
持 SSL2。 结 论 是 SSL2 依 旧 无 法 提供 大 于 40 位 的 安全 性 。 攻 击 者 如 果 可 以 实时 进行 暴力 破解 ， 就 
可 以 攻击 所 有 的 SSL 2 连接 。 
























































































































































6.6.2 互 操作 性 问题 
随 着 SSL 3 的 公布 ， 互 操作 性 问题 也 随 之 而 来 。 在 本 节 中 我 将 列举 一 些 最 常见 的 问题 。 





GD RFC 6101: The SSL Protocol Version 3.0, Section E.2 ， http://tools.ietf.org/html/rfc6101#appendix-E.2 ( Freier 等 ，2011 
年 8 月 )。 
@ 在 SSL2 中 , RSA 是 唯一 的 身份 验证 和 密 钥 交换 机 制 。 因 此 作为 对 这 种 密 钥 交 换 的 修改 而 实现 的 回 滚 保护 机 制 足 够 
解决 这 个 问题 了 。 
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1. 版 本 不 相 容 问 题 
遇 到 的 第 一 个 问题 是 版 本 不 相 容 。SSL 2 不 需要 考虑 协议 进化 而 且 也 没有 规定 如 何 处 理 未 知 
的 协议 版 本 。 以 下 书 摘 " 描 述 了 这 种 情况 。 
不 幸 的 是 ，SSLv2 规 范 并 不 清楚 服务 器 应 该 如 何 处 理 版 本 号 比 它们 能 支持 的 版 本 号 
更 高 的 CLIENTHELLO 消 息 。 由 于 Netscape 的 SSLREF 参 考 实 现 简单 地 拒绝 掉 所 有 更 高 
版 本 号 的 握手 请 求 的 事实 ， 使 得 这 个 问题 变 得 更 加 糟糕 。 因 此 ， 不 能 保证 所 有 的 SSLV2 
服务 器 都 可 以 正确 地 处 理 向 后 兼容 的 握手 请 求 ， 虽 然 大 部 分 的 主流 服务 器 都 是 支持 的 。 
SS1 3 没有 在 这 方面 进行 大 幅 改 进 ， 只 是 在 协议 规范 中 用 一 句 话 提 到 了 客户 端 版 本 处 理 方 法 : 
server_version: 这 个 字段 包含 clienthello 中 客户 端 建议 的 版 本 和 服务 器 支持 的 最 高 
从 TLS 1.0 开 始 ， 有 了 更 多 关于 如 何 处 理 向 后 兼容 性 的 描述 ， 但 是 只 有 TLS 1.2 提 供 了 清晰 的 
指导 。 
























































一 个 TLS 1.2 客 户 端 需要 与 老 旧 服务 器 协商 的 时 候 ， 需 要 发 送 正常 的 TLS 1.2 
ClientHello 消 息 ， 在 ClientHello.client version 中 包含 {3,3} (TLS 1.2 )。 如 果 服 务 器 
不 支持 这 个 版 本 ， 则 它 需 要 在 响应 的 ServerHello 中 包含 一 个 更 旧 的 版 本 号 。 如 果 客 户 
端 同意 使 用 这 个 版 本 ， 则 协商 会 继续 按照 商定 的 协议 版 本 酌情 进行 。 


由 于 这 些 规范 的 歧义 性 , 很 多 服务 器 对 于 不 支持 的 版 本 采用 了 拒绝 握手 的 处 理 。 当 浏览 絮 开 
始 支持 TLS 1.2 的 时 候 ， 这 成 为 了 一 种 严重 的 互 操作 性 问题 。 因 为 这 个 原因 ， 正 浏览 器 ， 作 为 第 
一 个 支持 TLS 1.2 的 浏览 句 ， 在 发 布 的 时 候 默 认 将 TLS 1.1 和 TLS 1.2 禁 用 。 

重新 协商 指示 扩展 ( Renegotiation Indication Extension ) 规范 (2010 年 公布 ， 比 TLS 1.2 晚 两 
年 )， 尝 试 来 解决 这 个 问题 。 寄 希望 于 开发 者 在 实现 新 的 重新 协商 机 制 的 时 候 ， 也 会 关注 版 本 和 
扩展 的 不 相 容 问题 。 在 规范 的 3.6 节 中 写 道 : 

实现 本 规范 的 TLS 服 务 器 必须 忽略 任何 由 客户 端 提供 的 未 知 扩展 ， 并 且 必 须 处 理 比 

它们 支持 的 最 高 版 本 号 更 高 的 版 本 号 并 以 最 高 公共 版 本 号 进行 协商 。 这 两 个 需求 重申 之 

前 存在 于 RFC 5246 中 的 需求 并 且 仅 为 了 有 利于 向 前 兼容 而 在 此 处 声明 。 

还 有 一 个 类 似 的 不 相 容 问题 和 记录 层 的 TLS 版 本 有 关 。 除了 在 ClientHello 中 存在 版 本 号 之 外 ， 
客户 端 同时 也 决定 在 TLS 记 录 中 使 用 哪个 版 本 号 ,这 个 信息 是 在 发 送 给 服务 器 的 第 一 条 消息 里 携 
带 的 , 在 这 个 环节 上 ,客户 端 还 不 知道 服务 器 支持 哪些 版 本 。 对 于 记录 层 版 本 号 的 混淆 更 加 的 复 
杂 ， 并 且 很 多 服务 器 显示 出 了 巨大 的 不 相 容 性 。 在 实际 中 ， 某 些 库 永远 指定 TLS 1.0， 反 之 其 他 
库 则 指定 它们 支持 的 最 高 版 本 ， 就 像 在 ClientHello 中 的 那样 ( 例如 ，TLS 1.2 )。 

这 种 类 型 的 不 相 容 给 TLS 1.3 造 成 了 很 严重 的 问题 。 根 据 我 简单 的 测试 ， 如 果 将 这 个 新 版 本 
号 用 于 记录 层 , 那么 大 量 的 服务 器 ( 很 容易 超过 10% ) 将 会 拒绝 进行 握手 。 使 用 TLS 2.0 作 为 下 一 

































































QD SSL and TLS: Designing and Building Secure Systems, 137 页 ( Eric Rescorla，Addison-Wesley，2000 年 10 月 )。 
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个 协议 版 本 是 完全 不 可 能 的 ， 因 为 不 相 容 性 会 影响 超过 70% 的 服务 器 。 为 了 将 这 个 问题 最 小 化 ， 
TLS 1.3 的 协议 规范 废弃 了 记录 层 协议 版 本 并 将 其 固定 为 TLS 1.0。 

2. 扩展 不 相 容 问题 

SSL/TLS 协 议 的 早期 版 本 (SSL 3 和 TLS 1.0 ) 没有 在 不 引入 新 版 本 号 的 情况 下 增加 新 功能 点 
的 明确 机 制 。 唯 一 类 似 于 向 前 兼容 性 的 机 制 是 一 个 关于 可 以 在 ClientHello 消 息 结尾 增加 额外 数 
据 的 规定 。 具 体 的 实现 会 忽略 掉 不 能 理解 的 额外 数据 。 这 个 模糊 的 扩展 机 制 后 来 被 TLS 扩 展 所 替 


换 掉 ， 














TLS 扩 展 为 ClientHello 和 ServerHello 消 息 增加 了 通用 的 扩展 机 制 。 在 TLS 1.2 中 ，TLS 扩 








展 被 合并 到 主 协 议 规范 中 。 


由 于 早期 协议 规范 的 模糊 性 ， 毫 无 意外 将 会 有 大 量 的 SSL3 和 TLS 1.0 服 务 天 拒绝 与 带 有 扩展 











数据 的 客户 端 进行 握手 。 
3. 其 他 互 操 作 性 问题 
还 存在 其 他 互 操作 性 问题 ,这些 问题 大 多 是 由 于 模糊 的 规范 和 粗心 的 编程 共同 导致 的 。 
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长 握手 不 相 容 性 

协议 本 身 没 有 限制 ClientHello 消 息 的 大 小 ， 但 是 早年 协议 中 只 有 少量 的 密码 套件 可 供 客 
户 端 选择 ， 因 此 ClientHello 消 息 较 短 。 但 是 从 OpenSSL 1.0.1 开 始 ， 和 情况 则 发 生 了 变化 ， 
主要 是 支持 了 更 多 的 密码 套件 。 那 么 把 这 些 大 量 的 密码 套件 与 其 他 扩展 信息 一 起 描述 出 
来 时 (例如 主机 名 和 支持 的 椭圆 曲线 类 型 )，ClientHello 消 息 的 大 小 会 增长 得 很 大 。 然 后 
就 发 生 了 一 个 问题 ，FS 的 BIG- 耻 负载 均衡 需 无 法 处 理 长 度 在 25$~512 字 节 之 间 的 握手 消 
息 。 因 为 BIG- 了 的 广泛 使 用 ( 特别 是 那些 大 网 站 )， 使 得 此 问题 影响 了 TLS 1.2 的 推广 。 
任意 扩展 不 相 容 

有 时 候 , 能 识别 TLS 扩 展 的 服务 器 也 会 不 明 原 因 地 无 法 协商 出 带 有 不 明 扩 展 的 链接 。 这 种 
情况 在 服务 器 名 称 指示 (servername indication，SNI ) 和 状态 请 求 (status request; OCSP 
stapling ) 扩展 上 第 有 发 生 。 

无 法 处 理 碎片 

历史 上 ， 有 过 许多 与 消息 碎片 相关 的 问题 。SSL 和 TLS 协 议 允 许 所 有 上 层 协议 的 数据 进行 
碎片 整理 并 且 经 过 多 个 记录 协议 消息 发 送 。 多 数 产 品 可 以 正确 地 处 理应 用 层 的 碎片 数据 ， 
但 是 无 法 处 理 其 他 类 型 的 碎片 ， 原 因 是 这 类 数据 碎片 的 场景 在 实际 中 从 未 发 生 。 同 样 ， 
一 些 产品 无 法 处 理 0 长 度 的 TLS 记 录 , 这 类 记录 最 开始 是 为 了 应 对 在 TLS 1.0 以 及 更 早 的 协 
议 中 的 可 预测 IV 问 题 ,为 了 应 对 同样 问题 的 男 一 个 方法 是 采用 1/n - 1 分 割 的 方式 发 送 记 录 
消息 (发送 两 个 记录 消息 ， 第 一 个 消息 包含 1 字 节 )。 这 种 方法 也 会 导致 问题 ， 因 为 一 些 
产品 无 法 处 理 一 个 HTTP 请 求 横 跨 两 条 TLS 消 息 的 情形 。 










































































QD RFC 3546: TLS Extensions, http://www.ietf.org/rfc/rfc3546.txt ( Blake-Wilson 等 ，2003 年 6 月 )。 
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6.6.3 自愿 协议 降级 


当 互 操作 性 问题 出 现 之 后 ， 浏 览 器 开始 文 持 自愿 协议 降级 (voluntary protocol downgrade )。 
具体 来 说 就 是 首先 使 用 其 支持 的 最 高 TLS 版 本 尝试 连接 ， 并 启用 所 有 支持 的 选项 和 扩展 。 如 果 首 
次 尝试 连接 失败 , 则 减少 选项 并 降低 协议 版 本 ; 浏览 器 会 持续 进行 这 种 尝试 直到 连接 建立 , 例如， 
当 TLS 1.0 协 议 为 最 高 版 本 的 时 候 ， 自 愿 协议 降级 在 最 坏 的 情况 下 会 尝试 2 次 ， 而 对 于 TLS 1.2， 则 
会 尝试 3 be 4 次 。 

注意 
互 操作 性 问题 不 仅仅 是 导致 TLS 握 手 失败 的 原因 。 有 充足 的 证 据 表 明代 理 服 务 器 、 防 
火 墙 以 及 杀毒 软件 经 常 基于 协议 版 本 号 和 其 他 的 握手 属性 来 拦截 和 过 滤 连 接 。 

为 了 了 解 这 种 行为 , 我 调查 了 多 种 版 本 的 主流 桌面 浏览 需 。 我 使 用 了 一 个 修改 过 的 TCP 人 代理， 
该 代理 只 允许 SSL 3.0 的 连接 通过 。 其 他 版 本 的 连接 都 会 被 阻 断 并 返回 handshake_failure TLS 警 
报 。 调 查 结果 如 表 6-3 所 示 。 

表 6-3 ”2014 年 7 月 主流 浏览 器 的 自愿 协议 降级 行为 


























浏 览 器 第 一 次 尝试 第 二 次 尝试 第 三 次 尝试 第 四 次 尝试 
Chrome 33 TLS 1.2 TLS 1.1 TLS 1.0 SSL3 
Firefox 27 TLS 1.2 TLS 1.1 TLS 1.0 SSL3 
IE6 SSL3 SSL2 
IE7 (Vista) TLS 1.0 SSL3 
IE8 (XP) TLS 1.0 (无 扩展 ) SSL3 
IE8~10 (Win7) TLS 1.0 SSL 3 
IE11 TLS 1.2 TLS1.0 SSL3 
Safari7 TLS 1.2 TLS1.0 SSL3 





我 的 调查 结果 显示 ， 在 2014 年 7 月 ,你 可 以 将 所 有 主流 浏览 器 降级 到 SSL3。" 对 于 IE6， 你 其 
至 可 以 降级 到 SSL 2。 基 于 SSL 2 可 以 收 到 暴力 破解 主 密 钥 的 问题 的 威胁 ， 你 也 只 能 期 望 IE6 提 供 
最 大 40 位 的 安全 强度 了 。 

对 于 SSL 3， 因 为 POODLE 攻 击 的 原因 ， 该 版 本 已 经 在 2014 年 10 月 被 明确 判定 为 不 安全 的 。 
一 次 成 功 的 攻击 可 以 利用 协议 的 弱点 获取 到 少量 的 加 密 数据 ( 例如 HTTP 协 议 的 Cookie )。 即 使 忽 
略 掉 POODLE 攻 击 问题 ，SSL 3 依然 在 以 下 方面 与 最 新 的 TLS 1.2 存 在 巨大 差距 。 
口 不 支持 GCM、SHA256 和 SHA384 套 件 。 
口 不 支持 椭圆 曲线 加 密 方法 。 当 面临 前 向 保密 问题 时 ， 只 有 很 少 的 站 点 支持 不 带 椭 圆 曲 线 

的 临时 Diffie-Hellman 密 钥 交 换 。 没 有 椭圆 曲线 ， 这 些 网 站 无 法 提供 前 向 保密 。 















































@ 即使 是 Opera， 其 在 之 前 已 经 实现 了 协议 降级 保护 机 制 ， 但 是 开发 团队 在 版 本 15 的 时 候 丢弃 了 自己 的 引擎 而 转 而 
使 用 Chrome 的 Blink， 之 后 该 特性 也 随 之 丢失 了 。 
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口 SSL3 容 易 遭 受到 BEAST 攻 击 ， 不 过 现代 浏览 器 都 实现 了 防御 的 手段 。 然 而 ， 有 些 网 站 倾 
向 于 在 TLS 1.0 和 之 前 的 协议 中 使 用 RC4。 对 于 这 些 网 站 ， 攻 击 者 可 以 迫使 连接 降级 到 使 


用 RC4。 
口 Microsoft 的 SSL 3 不 支持 AES 算 法 ， 这 意味 着 使 用 SSL 3 的 IE 浏 览 器 只 能 使 用 RC4 和 3DES 
算法 。 





在 上 面 各 项 中 , 我 认为 最 大 的 问题 是 不 支持 前 向 保密 。 一 个 严重 的 攻击 可 以 导致 某 些 连 接 降 
低 到 使 用 RSA 密 钥 交 换 的 方法 ， 然 后 在 得 到 私 钥 后 获取 全 部 加 密 信息 。 


注意 

考虑 到 通信 失败 的 确切 本 质 ， 即使 在 服务 器 不 存在 不 相 容 问题 的 情况 下 , 依然 可 能 会 
触发 回 退 机 制 。 举 例 来 说 ， 有 报道 称 Firefox 在 茶 些 不 可 靠 网 络 连接 的 情况 下 ,会 回 退 
使 用 SSL3, 最 终 导 致使 用 虚拟 安全 托管 的 站 点 断 开 连 接 ( 因为 虚拟 安全 托管 依赖 TLS 
扩展 ， 但 是 SSL 3 并 不 支持 ) 了 


基于 我 的 测试 ， 现 代 浏览 器 做 了 很 多 安全 改进 。 例 如 ,在 POODLE 攻 击 被 发 现 后 ， 浏 览 器 首 
先 停 止 了 向 SSL 3 的 降级 ， 然 后 完全 禁用 这 个 版 本 的 协议 。 行 为 在 不 断 的 变化 ， 并 且 变 化 是 向 着 
完全 不 会 回 退 的 方向 发 展 。 你 可 以 将 这 里 讨论 的 降级 行为 作为 一 种 对 补救 中 老 旧 问题 的 描述 。 








6.6.4 TLS 1.0 和 之 后 协议 的 回 退 保护 


因 WR 了 握手 完整 性 检查 ， 针 对 仅 支 持 SSL3 和 更 高 版 本 的 回 退 攻击 
无 法 奏效 。 

在 SSL2 上 起 作用 的 暴力 破解 主 密 钥 的 方法 也 不 再 有 用 , 因为 主 密 钥 在 新 版 本 中 提高 到 了 384 位 。 

TLS 1.0( 以 及 所 有 后 续 协 议 ) 同时 也 继承 了 SSL 3 的 传统 并 包含 了 针对 RSA 密 钥 交 换 的 回 退 
保护 ， 这 是 通过 让 客户 端 发 送 一 个 额外 的 版 本 号 并 由 服务 器 私 钥 进行 保护 。 以 下 是 引 自 TLS 1.2 
规范 7.4.7.1 节 的 一 段 话 : 

PreMasterSecret 中 的 版 本 号 是 由 客户 端 在 ClientHello.client version 中 提供 的 版 

本 号 ， 而 不 是 连接 协商 出 的 协议 版 本 号 。 此 特性 如 此 设计 是 为 了 防止 回 退 攻击 。 

这 个 保护 机 制 只 有 在 RSA 作 为 身份 验证 和 密 钥 交 换 的 时 候 才 能 被 使 用 , 它 无 法 用 于 其 他 密 钥 
交换 算法 ( 即使 RSA 用 于 身份 验证 时 也 不 行 )。 

实际 上 ，TLS/SSL 协 议 的 开发 人 员 经 常 无 法 在 正确 的 位 置 上 使 用 正确 的 协议 版 本 。Opera 的 


















































QD Bug #450280: PSM sometimes falls back from TLS to SSL3 when holding F5 (which causes SNI to be disabled), 
https://bugzilla.mozilla.org/show_bug.cgi?id=450280( Bugzilla@Mozilla， 报 告 于 2008 年 8 月 12 日 )。 

名 保护 是 由 于 Finished 消 息 提供 的 , 该 消息 用 来 在 握手 结束 的 时 候 进行 完整 性 校 验 。 在 SSL3 中 ,这 个 消息 的 长 
388 位 。 奇 怪 的 是 ，TLS 1.0 将 此 消息 的 大 小 削减 为 96 位 。 在 TLS 1.2 中 ，Finished 消 息 仍然 默认 使 用 96 位 的 长 
但 是 协议 规范 允许 密码 套件 增加 长 度 。 尽 管 如 此 ， 所 有 的 密码 套件 依然 在 使 用 96 位 的 长 度 。 
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SSL/TLS 库 的 维护 者 Yngve Petterson 曾 经 在 这 个 问题 上 表示 : ” 
第 二 , 基于 RSA 的 窗 钥 交换 算法 使 用 了 这 样 一 种 方法 , 客户 端 同 时 将 它 发 送 给 服务 
器 的 协议 版 本 号 再 发 送 一 次 ,服务 器 将 此 版 本 号 与 之 前 收 到 的 版 本 号 进行 对 比 检查 。 这 
可 以 保护 协议 版 本 选择 ,即使 在 散 列 函数 的 安全 性 被 破坏 的 情况 下 同样 有 效 。 不 幸 的 是 ， 
很 多 客户 端 和 服务 器 没有 正确 地 按照 规范 实施 ， 使 得 这 个 保护 机 制 没有 任何 效果 。 
在 TLS 1.2 的 规范 中 也 有 同样 的 描述 : 
不 幸 的 是 ， 某 些 旧 的 实现 使 用 了 协商 出 的 版 本 号 ， 因 此 检查 版 本 号 可 能 会 导致 无 法 
与 这 些 错误 实现 的 客户 端 建立 连接 。 
紧 接 着 该 规范 给 出 只 针对 新 的 客户 端 启用 回 退 保护 的 建议 : 
如 果 ClientHello.client version 是 TLS 1.1 或 者 更 高 ， 服 务 器 实现 必须 按照 如 下 面 
的 说 明 中 所 述 的 方法 来 检查 版 本 号 。 
不 过 , 虽然 存在 两 种 防御 方法 , 但 是 协议 回 退 攻击 依然 可 能 发 生 , 这 是 因为 之 前 我 们 讨论 过 
的 客户 端 自愿 协议 降级 行为 。 


6.6.5 ”攻击 自愿 协议 降级 


协议 内 置 的 针对 回 退 攻击 的 防御 对 于 攻击 者 干扰 一 个 新 连接 进行 攻击 是 有 效 的 。 但 是 当 考虑 
自愿 协议 降级 的 情况 后 , 回 退 攻击 依然 会 发 生 。 这 是 因为 中 间 人 攻击 者 根本 不 需要 修改 任何 握手 
数据 。 相 反 ， 他 只 需要 拦截 掉 客 户 端 发 出 的 高 于 SSL 3 的 握手 请 求 ， 迫 使 客户 端 降低 协议 版 本 。 
为 了 防御 这 种 类 型 的 攻击 ， 需 要 使 用 新 的 办 法 。 
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6.6.6 ”现代 回 退 防御 


自愿 协议 降级 行为 是 TLS 安 全 性 的 一 个 漏洞 。 虽然 大 家 都 努力 升级 到 TLS 1.2, 但 是 主动 攻击 
者 仍然 可 以 将 通信 降级 到 TLS 1.0， 其 至 在 某 些 情况 下 降级 到 SSL 3。 这 个 话题 在 TLS 工 作 组 的 邮 
件 列表 上 讨论 了 很 多 次 , 但 是 到 目前 还 没有 达成 任何 共识 。 我 收集 了 一 些 与 讨论 有 关 的 链接 , 意 
在 了 解 人 们 关于 解决 这 个 问题 的 思路 以 及 观察 工作 组 工作 的 复杂 性 。 

这 个 话题 最 早 是 在 2011 年 提出 的 >， 当 时 Eric Rescorla 提 议 使 用 特殊 的 信号 密码 套件 值 
( signaling cipher suite value，SCSV ) 来 让 客户 端 用 它们 支持 的 最 高 版 本 协议 进行 通信 ， 即 使 在 出 
现 协议 降级 的 情况 下 也 是 如 此 。 服 务 器 在 发 现 协议 版 本 号 不 符合 的 时 候 必 须 关闭 连接 。 这 基于 的 
假设 是 支持 这 种 防御 功能 的 服务 器 不 能 存在 任何 的 不 相 容 问题 。 选 择 SCSV 方 法 的 原因 是 它 同时 












































GD Standards work update , https://web.archive.org/web/20140301045454/http://my.opera.com/yngve/blog/2012/11/02/standards- 
work-update ( Yngve Nysaeter Pettersen，2011 年 12 月 2 日 )。 

©® One approach to rollback protection, https:/www.ietf.org/mail-archive/web/tls/current/msg08099.html ( Eric Rescorla, 
2011 年 9 月 26 日 )。 
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成 功 地 支持 了 在 SSL 3 基础 上 的 重新 协商 。? 

2012 年 , Adam Langley 提 出 了 一 种 同样 是 基于 信和 号 套件 并 且 将 检测 方法 留 在 服务 器 端的 防御 

在 之 后 的 讨论 中 ，Yngve Peterson 提 交 了 一 种 替代 方法 ”， 倾 向 于 在 客户 端 进行 检查 ”( 这 将 
使 得 实现 起 来 更 加 容易 ; 与 要 使 用 很 长 时 间 来 升级 大 量 服务 器 相 比 ， 只 需要 升级 有 限 种 类 的 客户 
端 就 能 节省 很 多 时 间 )。 他 的 提案 基于 RFC 5746 ( 重新 协商 指示 扩展 ), 该 规范 明确 禁止 了 服务 器 
对 未 来 协议 版 本 的 不 相 容 性 。Yngve 的 评 佑 指出， 只 有 0.14% 的 实现 了 RFC 5746 的 服务 器 显示 出 
了 协议 不 相 容 性 。 他 随后 在 Opera 10.50 中 加 入 了 这 个 防御 回 退 攻击 的 方法 。? 

另外 一 次 讨论 在 2013 年 4 月 展开 *。 最 终 ，Bodo Moeller 在 2013 年 9 月 提交 了 一 份 草稿 ?。 该 草 
稿 后 来 得 到 完善 *, 并 且 最 终 成 为 了 RFC75072?。Bodo 的 提案 主要 是 使 用 了 一 个 单独 的 信号 套件 来 
指示 自愿 降级 行为 ,需要 理解 该 信号 并 支持 更 高 协议 版 本 ( 与 客户 端 将 尝试 协商 的 协议 版 本 相 比 ) 
的 服务 器 来 中 止 协商 。Chrome 33 是 实现 此 特性 的 第 一 个 浏览 器 "。 

我 们 该 如 何 解释 工作 组 对 于 Yngve 的 提案 缺乏 兴趣 呢 ? 可 能 是 因为 尽管 十 分 罕见 ， 但 依然 有 
实现 了 安全 重新 协商 的 服务 器 存在 协议 不 相 容 的 问题 。 我 认为 浏览 器 厂商 们 不 希望 事态 发 展 到 最 
终 必 然 对 他 们 产生 强烈 影响 的 程度 。 男 外 一 方面 ，SCSV 方 案 会 在 服务 器 端 实施 并 只 针对 真正 的 
攻击 起 作用 。 

SCSV 方 案 的 问题 在 于 推广 需要 花费 很 多 年 ,少数 关心 安全 的 网 站 可 能 会 尽快 地 部 署 该 方案 ， 
但 是 其 他 的 网 站 则 会 因为 开销 太 大 而 无 法 部 署 。Google 在 2014 年 2 月 开始 使 用 SCSV， 同 时 在 
Chrome 浏 览 器 和 服务 器 端 实现 。OpenSSL 1.0.1j 版 本 是 2014 年 10 月 发 行 的 ， 包 括 了 服务 器 端 对 这 

































































































































































@ 对 于 现代 的 协议 版 本 ， 客 户 端 可 以 用 TLS 扩 展 来 声明 它们 的 能 力 。 但 是 因为 SSL 3 不 支持 扩展 ， 这 就 需要 其 他 的 机 
制 。 方 法 就 是 使 用 信号 套件 ， 这 种 套件 不 能 用 来 协商 ， 但 是 可 以 实现 从 客户 端 到 服务 器 的 少量 信息 传送 。 

© Cipher suite values to indicate TLS capability ，http:/www.ietforg/mail-archive/web/ts/currentmsg08861.html ( Adam 
Langley，2012 年 6 月 5 日 )。 

@ Fwd: New Version Notification for draft-pettersen-tls-version-rollback-removal-00.txt, http://www.ietf.org/mail-archive/ 
web/tls/current/msg08889.html ( Yngve Pettersen ，2012 年 7 月 3 日 )。 

由 Managing and removing automatic version rollback in TLS Clients, https://datatracker.ietf.org/doc/draft-pettersen- 
tls-version-rollback-removal/ ( Yngve Pettersen ，2014 年 2 月 )。 

@@ 从 版 本 15 开 始 ，Opera 切 换 到 了 Blink 浏 览 器 引擎 ( Google 的 WebKit 分 支 )， 废弃 了 他 自己 的 引擎 以 及 SSL/TLS 栈 。 
这 也 意味 着 同时 废弃 了 Yngve 所 提议 的 那个 回 滚 实 现 。 

(OO SCSVs and SSLv3 fallback, http:/www.ietf.org/mail-archive/web/tls/current/msg09450.html ( Trevor Perrin，2013 年 4 
月 4 日 )。 

© TLS Fallback SCSV for Preventing Protocol Downgrade Attacks, https://tools.ietf.org/html/draft-bmoeller-tls-downgrade- 
scsv-02 ( Bodo Moeller 和 Adam Langley，2014 年 6 月 )。 

An SCSYV to stop TLS fallback, http://www.ietf.org/mail-archive/web/tls/current/msg10676.html ( Adam Langley, 2013 

年 11 月 25 日 )。 

©@ RFC 7507: TLS Fallback SCSV for Preventing Protocol Downgrade Attacks, https://datatracker.ietf.org/doc/rfc7507/ 
( Moeller 等 ，2015 年 4 月 )。 

(0 TLS Symmetric Crypto, https:/www.imperialviolet.org/2014/02/27/tlssymmetricerypto.html ( Adam Langley，2014 年 2 
月 27 日 )。 
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个 新 标准 的 支持 。Mozilla 计 划 在 Firefox 35 中 实现 SCSV， 预 计 在 2015 年 1 月 发 行 。" 
作为 对 比 ， 下 浏览 器 团队 声明 他 们 没有 计划 来 实现 这 个 防御 机 制 。” 


6.7 截断 攻击 


在 截断 攻击 中 ,攻击 者 可 以 提前 结束 一 条 安全 连接 ,以 阻 断 一 条 或 多 条 消息 到 达 对 端 。 通常 
来 说 ,一 个 安全 协议 是 应 该 能 检测 到 这 类 攻击 的 。SSL2 会 受到 截断 攻击 的 威胁 , 但 是 SSL 3 通过 
引入 close_notify 消 息 来 处 理 这 个 问题 。 之 后 的 协议 版 本 保留 了 这 个 保护 机 制 。 例 如 ，TLS 1.2 
协议 规范 的 7.2.1 节 包含 了 以 下 说 明 : 

除非 有 其 他 更 严重 的 警报 消息 , 否则 通信 的 双方 需要 在 关闭 连接 的 写 方 向 之 前 ,发 

送 close_notify 消 息 。 收 到 此 消息 的 通信 另外 一 方 必须 用 它 自 己 的 close_notify 警 报 作 

为 响应 ， 并 立即 关闭 连接 且 忽 略 掉 所 有 正在 等 待 的 写 事件 。 

这 个 机 制 是 有 效 的， 因为 close_notify 消 息 是 经 过 验证 的 。 如 果 任 何 之 前 消息 产生 了 丢失 ， 
则 TLS 的 完整 性 检查 机 制 可 以 发 现 这 个 问题 。 

不 幸 的 是 , 连接 关闭 危害 一 直 在 大 范围 地 扩散 。 这 是 因为 很 多 客户 端 和 服务 器 会 突然 关闭 连 
接 并 省 略 掉 了 标准 中 强制 性 的 连接 关闭 流程 。IE 浏 览 器 就 是 这 样 ， 此 外 还 有 很 多 其 他 的 软件 同样 
如 此 。 

由 于 存在 很 多 关于 截断 攻击 的 虚假 报警 ,一 些 运 行 良好 的 应 用 程序 开始 忽略 这 个 问题 , 这 使 
得 它们 开始 面临 真正 的 攻击 。 

实际 上 ， 各 种 标准 鼓励 了 这 种 行为 ， 因 为 它们 并 没有 真正 对 可 靠 的 关闭 连接 进行 严格 要 求 。 
SSL 3 的 规范 中 有 如 下 描述 : 

要 求 发 起 关闭 连接 的 一 方 在 关闭 连接 的 读 方向 之 前 等 待 对 端的 close_notify 警 报 。 

也 就 是 说 ， 不 需要 操心 对 端 是 否 收 到 了 本 端 发 送 的 全 部 数据 。 由 于 TLS 1.1 放 松 了 会 话 恢 复 
的 规则 ,事情 变 得 更 糟 。 在 TLS 1.1 之 前 ,任何 连接 上 的 错误 都 会 导致 TLS 会 话 信息 被 丢弃 。 在 实 
践 上 , 这 表示 客户 端 需 要 在 后 续 的 连接 上 重新 执行 全 握手 (CPU 密集 型 操作 ) 流程 。 但 是 TLS 1.1 
对 于 非 正 常 关闭 的 连接 删除 了 这 个 要 求 。 下 面 是 引用 自 TLS 1.1 的 7.2.1 节 中 的 一 段 话 : 


注意 
对 于 TLS 1.1， 无 法 正确 关闭 连接 不 再 要 求 不 恢复 会 话 。 这 与 TLS 1.0 不 同 ， 目 的 是 为 
了 符合 广泛 应 用 的 实现 实践 。 


这 很 可 惜 ， 因 为 这 次 修改 让 那些 存在 错误 的 浏览 器 失去 了 更 正 问题 的 动力 。 结 果 就 是 , 我们 
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QD The POODLE Attack and the End of SSL 3.0, https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the- 
end-of-ssl-3-0/( Mozilla 安 全 博客 ，2014 年 10 月 14 日 )。 

© Internet Explorer should send TLS FALLBACK SCSV, https://connect.microsoft.com/IE/feedback/details/1002874/ 
internet-explorer-should-send-tls-fallback-scsv (IE Feedback Home， 提 交 于 2014 年 10 月 16 日 )。 
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失去 了 对 截断 攻击 的 防御 。 


6.7.1 截断 攻击 的 历史 


针对 SSL3 和 TLS 的 截断 攻击 最 早 在 2007 年 就 被 讨论 过 ”"， 当 时 是 Berbecaru 和 Lioy 演 示 了 针对 
多 种 浏览 器 的 这 类 攻击 。 他 们 把 焦点 集中 在 截断 响应 上 。 例如， 浏览 器 会 通过 TLS 连 接 显示 不 完 
整 的 页 面 或 者 图 像 ， 却 不 会 发 出 任何 关于 当前 页 面 内 容 不 完整 的 提示 。 

这 个 话题 在 2013 年 被 重新 提 及 ”， 这 次 比 之 前 讨论 得 更 加 详细 。 具 体 来 讲 ，Smyth 和 Pironti 
成 功 地 展示 了 几 个 引 人 注 目的 攻击 , 攻击 的 范围 包括 从 在 公共 环境 中 针对 电子 投票 系统 ( Helios ) 
的 攻击 到 针对 Web 邮 件 系 统 账 号 的 攻击 〈 Microsoft 和 Google )。 在 所 有 的 攻击 场景 中 ， 最 主要 的 
技巧 是 在 用 户 不 知道 的 情况 下 阻止 用 户 的 账户 登 出 。 为 了 达成 这 点 ,， 他们 利用 应 用 程序 的 漏洞 告 
知 用 户 已 经 登 出 ， 但 实际 上 用 户 并 没有 登 出 。 通 过 利用 针对 HTTP 请 求 的 TLS 截 断 ， 研 究 者 可 以 
让 被 攻击 用 户 保持 登录 状态 。 在 这 之 后 ,如 果 攻 击 者 能 够 登录 到 被 攻击 人 的 电脑 上 , 那 攻 击 者 就 
可 以 伪装 成 被 攻击 人 并 利用 他 的 身份 。 


注意 

截断 攻击 对 HTTP 协 议 有 效 , 这 很 有 意思 , 因为 HTTP 消 息 是 被 设计 成 包括 长 度 信息 的 ， 
但 是 却 没什么 效果 。 这 是 在 互联 网 领域 人 们 急功近利 地 走 捷径 而 最 终 产生 问题 的 又 一 
个 例子 。 


















































6.7.2 ”Cookie 截断 


2014 年 ,一些 更 加 有 效 的 截断 攻击 新 技术 诞生 了 。" 研究 者 将 早期 针对 TLS 的 攻击 方法 ( 例 
如 BEAST 攻 击 ) 应 用 到 了 截断 攻击 上 ， 具 体 来 说 ， 攻 击 者 可 以 通过 向 HTTP 请 求 和 响应 中 注入 任 
意 长 度 的 数据 来 达到 控制 TLS 记 录 长 度 的 目的 。 如 果 攻 击 者 能 控制 TLS 记 录 的 长 度 ， 那 么 就 可 以 
控制 记录 如 何 进行 分 割 ( 取决 于 大 小 和 其 他 限制 )。 在 结合 截断 攻击 的 情况 下 ， 攻 击 者 可 以 分 割 
HTTP 的 请 求 和 响应 头 ， 这 会 造成 一 些 有 意思 的 结果 。 

Cookie 截 断 是 一 种 针对 HTTP 响 应 头 的 截断 攻击 。 这 种 攻击 可 以 让 安全 Cookie 变 成 明文 的 、 
不 安全 的 Cookie。 我 们 来 看 一 些 含 有 安全 Cookie 的 HTTP 响 应 头 : 


HTTP/1.1 302 Moved Temporarily 

Date: Fri, 28 Mar 2014 10:49:56 GMT 

Server: Apache 

Strict-Transport-Security: max-age=31536000; includeSubDomains 






































Q@ 关 于 基于 SSL 和 TLS 安 全 协议 的 应 用 程序 的 可 靠 性 ( Diana Berbecaru 和 Antonio Lioy,，Public Key Infrastructure, 
Lecture Notes in Computer Science， 第 4582 卷 ， 第 248~264 页 ;，2007 年 )。 

© Truncating TLS Connections to Violate Beliefs in Web Applications, https://media.blackhat.com/us-13/US-13-Smyth- 
Truncating-TLS-Connections-to-Violate-Beliefs-in-Web-Applications-WP.pdf ( Ben Smyth 和 Alfredo Pironti, Black Hat 
USA，2013 年 )。 

@ Triple Handshakes and Cookie Cutters, https://www.secure-resumption.com ( Bhargavan 等 ，2014 年 3 月 )。 
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Cache-Control: no-cache, must-revalidate 

Location: /account/login.html?redirected from=/admin/ 

Content-Length: 0 

Set-Cookie: JSESSIONID=9A83C2D6CCC2392D4C1A6C12FFFA4072; Path=/; Secure; HttpOnly 
Keep-Alive: timeout=5, max=100 

Connection: Keep-Alive 





为 了 保护 Cookie 的 安全 ， 可 以 将 Secure 属 性 追加 到 标 头 行 。 但 是 ， 这 个 属性 被 放 在 了 Cookie 




















的 名 称 和 值 的 后 面 ， 如 果 从 Path 属 性 之 后 进行 截断 ， 将 会 得 到 一 个 不 安全 的 Cookie。 























很 明显 的 是 ， 如 果 截断 了 HTTP 响 应 头 ， 它 们 将 变 得 不 完整 而 且 非 法 ， 比 如 结尾 没有 换行 
(CCRLF ) 并 且 在 整个 标 头 的 结尾 没有 空 行 。 然 而 ， 现 实情 况 显示 ， 浏 览 器 会 忽略 掉 响 应 头 中 不 合 
法 的 部 分 并 继续 处 理 它们 。 大 多 数 浏览 器 都 对 一 种 或 者 几 种 截断 攻击 存在 风险 , 详细 情况 如 表 6-4 














所 示 。 
表 6-4 浏览 器 中 的 TLS 截 断 〈 来 源 : Bhargavan 等 ) 
In-header 截 断 已 忽略 Content-Length 已 忽略 丢失 的 终止 区 块 
Android 浏 览 器 4.2.2 是 是 是 
Android Chrome 27 是 是 是 
Android Chrome 28 否 否 是 
Android Firefox 24 否 是 是 
Safari Mobile 7.0.2 是 是 是 
Opera Classic 12.1 是 是 是 
IE10 否 是 是 











这 种 攻击 十 分 精巧 , 但 是 如 果 能 使 其 过 程 自动 化 的 话 ， 也 可 能 应 用 于 实践 中 。 具 体 可 以 按照 





以 下 步骤 操作 。 


(1) 攻击 一 个 还 没有 与 目标 网 站 建立 会 话 的 用 户 。 网 站 不 会 在 旧 Cookie 存 在 的 时 候 给 用 户 设 
置 新 Cookie。 这 可 以 通过 一 些 社会 工程 学 技巧 来 达成 ,或 者 对 于 一 个 主动 攻击 者 来 说 ， 就 是 重 定 





向 一 个 明文 HTTP 请 求 。 

















(2) 找到 一 个 可 以 对 HTTP 响 应 注入 任意 数据 的 入 口 ,这 是 达成 攻击 的 关键 ,这 可 以 让 你 在 TLS 


记录 的 边界 上 进行 注入 。 例如， 在 很 多 网 站 上 ， 对 某 些 资源 的 访问 需要 通过 身份 验 记 








F 才 行 ， 身 份 

















验证 导致 的 重 定向 中 包括 要 访问 的 资源 的 地 址 。 你 在 之 前 应 该 见 过 这 种 例 
redirected from 参数 来 达成 目的 。 








子 ， 就 是 用 





重 定向 响应 是 一 个 理想 的 攻击 发 起 点 ， 因 为 它们 没有 任何 内 容 。 如 果 你 截断 的 是 其 他 响应 ， 


那么 响应 体 的 缺少 会 引发 用 户 的 怀疑 。 


(3) 插入 填充 数据 来 将 响应 头 分 割 成 两 个 TLS 记 录 。 通 常 来 说 ，HTTP 的 重 定 向 响应 很 小 并 且 








可 以 装 到 一 个 TLS 记 录 中 。 你 的 目标 是 将 一 个 TLS 记 录 分 成 两 个 。 因 为 TLS 记 录 最 大 为 16384 字 节 ， 


所 以 通过 提交 一 个 非常 长 的 负载 并 且 证 它 的 长 度 超过 这 个 限制 ，TLS 栈 会 将 HTTP 啊 应 分 割 成 两 





个 记录 发 送 。 

















(4) 在 第 一 个 TLS 记 录 之 后 关闭 TLS 连 接 。 这 部 分 很 直接 : 观察 TLS 连 接 并 在 第 一 个 记录 通过 
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之 后 立即 关闭 连接 ( 例如 发 送 RST 包 )。 

(5) 提取 不 安全 的 Cookie。 在 这 个 环节 ， 不 完整 的 Cookie 已 经 被 浏览 器 记录 ， 你 需要 做 的 就 
是 从 浏览 器 中 提取 它 。 这 实际 上 是 一 种 Cookie 穷 取 攻 击 。 

另外 一 个 Cookie 和 截断 攻 击 的 目标 是 Strict-Transport-Security 响 应 头 。 如 果 你 在 max-age 参 数 
的 第 一 个 数字 之 后 截断 该 响应 头 , 则 HSTS 将 最 多 在 9 秒 后 过 期 。 此 外 ,如 果 有 includeSubDomains 
参数 ， 它 同样 会 无 效 。 在 HSTS 不 起 作用 的 情况 下 ， 你 可 以 展开 HTTPS 和 剥离 攻击 或 者 用 其 他 方式 
修改 Cookie， 就 像 我 们 在 第 5 章 中 讨论 过 的 那样 。 

Cookie 截 断 攻 击 被 期 望 通过 在 浏览 器 层面 进行 更 加 严格 的 检查 和 解析 来 进行 防御 ,一些 厂 商 
已 经 对 这 些 问 题 进行 了 修复 ,但 大 多 数 厂 商 何 时 修复 问题 依然 未 知 。 


6.8 ”部署 上 的 弱点 
有 些 时 候 , 不 正确 的 部 署 会 让 系统 变 得 脆弱 , 尤其 是 当 一 些 广泛 使 用 的 实践 方法 存在 漏洞 的 


时 候 。 本 节 描 述 的 问题 主要 源 于 安全 协议 定义 得 过 于 抽象 , 没有 清晰 地 指出 服务 器 该 如 何 正 确 地 
实现 。 结 果 就 产生 了 一 些微 妙 的 问题 。 









































6.8.1 虚拟 主机 混淆 


一 般 不 推荐 在 多 域名 之 间 共 享 证 书 ， 除 非 这 些 域名 是 紧密 关联 的 。 从 某 种 程度 上 来 说 ， 这 
个 问题 的 本 质 是 因为 共享 证 书 的 网 站 也 同样 在 共享 相同 的 私 钥 。 这 种 共享 削弱 了 安全 性 并 将 其 
降低 为 所 有 环节 中 最 不 安全 的 程度 。 同 时 ， 你 并 不 希望 多 个 独立 的 网 站 维护 团队 都 能 访问 到 同 
一 个 私 钥 。 

然而 , 共享 证 书 这 种 情况 在 应 用 层 也 存在 问题 , 如 果 一 个 站 点 发 生 了 信息 泄露 或 者 受到 其 他 
方式 的 攻击 ， 其 他 共享 相同 证 书 的 站 点 在 合适 的 条 件 下 也 会 遭受 攻击 。 这些“ 其 他 的 站 点 ”可 能 
监听 的 是 不 同 的 端口 或 IP 地 址 并 且 可 以 从 互联 网 上 访问 。 

举例 来 说 , 我 们 假设 攻击 者 得 到 了 一 个 使 用 多 域名 证 书 的 网 站 的 控制 权 。 从 一 个 主动 网 络 攻 
击 行为 的 角度 来 看 , 攻击 者 发 现 用 户 连接 到 的 其 他 网 站 也 使 用 了 同样 的 证 书 (我 把 这 些 网 站 称 为 
安全 站 点 )。 然 后 攻击 者 劫持 一 条 到 这 些 安全 站 点 的 TLS 连 接 并 将 其 发 往 她 自己 控制 下 的 那个 网 
站 。 因 为 证 书 相同 ,受害 者 的 浏览 器 不 会 发 现任 何 异 党 并 且 请 求 会 被 服务 器 端 处 理 。 因 为 攻击 者 
控制 了 接收 请 求 的 服务 器 , 她 可 以 记录 那些 在 被 劫持 的 连接 中 的 Cookie 并 使 用 它们 对 受害 者 的 应 
用 层 会 话 进行 动 持 。 攻 击 者 也 可 以 对 受害 者 的 HTTP 请 求 返回 任何 可 以 代表 “安全 ”站 点 而 执行 
的 JavaScript 代 人 码 。 

这 里 有 一 个 前 提 : 被 控制 的 站 点 的 Web 服 务 器 必须 忽略 掉 HTTP Host 头 指向 某 个 其 他 网 站 的 
这 种 情形 。 取 决 于 攻击 者 对 服务 器 的 控制 程度 ,攻击 者 也 许可 以 重新 配置 Web 服 务 器 软件 来 满足 
上 述 前 提 。 但 是 , 服务 器 忽略 掉 无 效 的 主机 信息 并 始终 对 某 个 默认 站 点 作出 响应 的 情况 也 是 非常 
常见 的 。 

Robert Hansen 是 第 一 个 强调 这 个 问题 的 人 。 当 时 他 成 功 实现 了 一 次 从 mxr.mozilla.org 到 
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addons.mozilla.org 的 跨 站 点 脚本 攻击 ， 这 两 个 网 站 共享 了 同一 个 证 书 。"2014 年 ，Delignat-Lavaud 
和 Bhargavan 在 一 篇 研究 报告 中 再 次 讨论 了 这 个 问题 ， 并 将 其 命名 为 虚拟 主机 混淆 (virtual host 
confusion )“。 他 们 同时 演示 了 如 何在 几 个 现实 场景 中 利用 这 个 问题 开展 攻击 ， 甚 至 发 现 了 一 个 
可 能 用 来 仿冒 世界 上 一 些 最 著名 网 站 的 长 久 安全 问题 。 


注意 

这 种 攻击 也 可 能 发 生 在 其 他 协议 上 ， 比 如 SMTP。 使 用 同样 的 重 定 向 方法 ， 攻 击 者 可 
以 攻破 一 个 脆弱 的 SMTP 服 务 器 然后 将 其 他 TLS 连 接 重 定向 到 这 里 。 如 果 证 书 是 共享 
的 ， 则 原本 发 往 其 他 安全 站 点 的 电子 邮件 将 被 发 送 到 攻击 者 这 里 。 











6.8.2 ”TLS 会 话 缓存 共享 


Delignat-Lavaud 和 Bhargavan 提 及 的 另外 一 个 问题 是 TLS 会 话 缓存 在 多 个 不 相关 的 网 站 之 间 
共享 ， 这 种 情况 很 常见 并 且 容 易 被 利用 来 绕 过 证 书 验 证 。 一 旦 某 个 TLS 会 话 建立 ， 客 户 端 就 能 与 
除了 原始 服务 器 之 外 的 、 但 却 共享 同一 个 会 话 缓存 的 服务 器 恢复 会 话 ,， 即 使 该 服务 器 并 不 用 来 处 
理 这 个 请 求 ， 也 没有 配置 正确 的 证 书 。 

这 个 问题 将 所 有 共享 同一 个 会 话 缓存 的 网 站 关联 了 起 来 (无论 是 基于 服务 器 会 话 缓存 还 是 基 
于 会 话 票证 )， 并 且 使 得 攻击 者 在 攻击 了 一 个 网 站 后 也 会 得 到 其 他 网 站 的 访问 权限 。 流 量 重 定向 
(之 前 讨论 过 的 伎俩 ) 依然 是 这 里 的 主要 攻击 手段 。 

对 于 服务 器 端的 会 话 缓存 , 问题 在 于 服务 器 没有 检查 当 一 个 会 话 恢复 的 时 候 , 它 是 否 是 再 与 
之 前 建立 连接 的 网 站 尝试 会 话 恢复 。 会 话 票证 的 情况 也 同样 如 此 。 人 然而 ,对 于 后 者 , 会 有 一 些 变 
通 方法 来 缓解 问题 ， 就 是 在 服务 器 上 给 每 个 域名 独立 配置 票证 密 钥 。 为 每 个 域名 使 用 独立 的 票证 
密 钥 始 终 是 一 种 最 佳 实践 。 































































































QD MitM DNS Rebinding SSL/TLS Wildcards and XSS, https://web.archive.org/web/20150315042723/http://ha.ckers.org/ 
blog/20100822/mitm-dns-rebinding-ssltls-wildcards-and-xss/ (Robert Hansen，2010 年 8 月 22 日 )。 

© Virtual Host Confusion: Weaknesses and Exploits, https:/www.blackhat.com/docs/us-14/materials/us-14-Delignat-The- 
BEAST-Wins-Again-Why-TLS-Keeps-Failing-To-Protect-HTTP-wp.pdf ( Antoine Delignat-Lavaud 和 Karthikeyan 
Bhargavan，2014 年 8 月 6 日 )。 





协议 攻击 








多 年 以 来 ， 研 究 者 一 直 或 多 或 少 地 关注 着 SSL 和 TLS 协 议 的 安全 性 问题 。SSLATLS 协 议 早期 
的 安全 性 很 不 可 靠 。SSL 1 存在 明显 的 安全 问题 ,因此 Netscape 于 1994 年 年 末 废 弃 了 这 个 版 本 , 并 
发 布 了 SSL 2 来 取代 它 。SSL 2 成 功 地 引导 了 电子 商务 的 爆发 ， 但 依然 不 是 特别 安全 。SSL 的 下 一 
个 版 本 SSL 3 于 1996 年 发 布 ， 解决 了 之 前 版 本 的 许多 安全 问题 。 

在 SSL 3 之 后 ，SSL/TLS 协 议 的 发 展 便 进入 了 一 个 漫长 的 平和 时 期 。1999 年 ，SSL 3 被 标准 化 
为 TLS 1.0 协 议 ， 它 对 SSL 3 几乎 没有 修改 。TLS 1.1 和 TLS 1.2 分 别 在 2006 年 和 2008 年 发 布 ， 但 是 
几乎 所 有 人 都 还 在 使 用 TLS 1.0。2008 年 ， 人 们 又 重新 开始 关注 SSLATLS 协 议 的 安全 性 话题 。 从 那 
时 起 ，TLS 就 开始 不 断 承 受 彻底 检查 每 个 特性 和 用 例 细节 的 压力 。 

在 本 章 中 ,我 整理 了 近 些 年 来 针对 TLS 协 议 的 攻击 ， 关 注 的 焦点 是 那些 你 在 实际 中 可 能 遇 到 
的 问题 。 这 些 攻击 按时 间 顺 序 分 别 是 : 2009 年 的 不 安全 重新 协商 ，2011 年 的 BEAST 攻 击 ，2012 
年 的 CRIME 攻 击 ，2013 年 的 Lucky 13、RC4 偏 差 、TIME 以 及 BREACH， 以 及 2014 年 发 现 的 三 次 
握手 和 POODLE 攻 击 。 在 本 章 的 最 后 , 我 将 简要 地 讨论 政府 部 门 对 某 些 标准 和 加 密 算法 进行 破坏 
的 可 能 性 。 有 关 FREAK 和 Logjam (它们 是 在 2015 年 出 现 的 ， 但 大 多 不 是 协议 问题 ) 的 信息 ,请 
参考 第 6 章 。 


7.1 不 安全 重新 协商 


不 安全 重新 协商 ( insecure renegotiation ) 也 叫 作 TLS 身 份 验 证 缺口 (TLS authentication gap )， 
是 由 Marsh Ray 和 Steve Dispensa 在 2009 年 8 月 首先 发 现 的 一 种 协议 缺陷 。 当 他 们 发 现 这 个 问题 之 
后 , 便 开始 在 整个 业界 范围 内 推动 协议 上 的 修复 , 并 协调 对 公众 披露 此 问题 的 进度 。 在 他 们 还 没 
完成 上 述 行动 的 时 候 ，Martin Rex ( 在 同年 11 月 ) 也 独立 发 现 了 这 个 不 安全 重新 协商 的 问题 "， 这 
使 得 关于 漏洞 的 信息 被 过 早 地 披露 出 来 。” 


















































GD MITM attack on delayed TLS-client auth through renegotiation, http:/www.ietf.org/mail-archive/web/tls/current/msg03928. 
html ( Martin Rex，2009 年 11 月 4 日 )。 

© Renegotiating TLS , http://wwl.prweb.com/prfiles/2009/11/05/104435/RenegotiatingTLS.pdf ( Marsh Ray 和 Steve 
Dispensa，2009 年 11 月 4 日 )。 
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7.1.1 为 什么 重新 协商 是 不 安全 的 


重新 协商 的 漏洞 之 所 以 存在 ， 是 因为 在 旧 的 和 新 的 TLS 连 接 之 间 没 有 连续 性 ， 即 使 这 两 个 连 
接 发 生 在 同一 个 TCP 连 接 上 。 也 就 是 说 ， 服 务 器 并 不 会 验证 新 旧 两 条 TLS 连 接 的 另外 一 端 是 同一 
个 。 即 使 存在 完整 性 校 验 ， 也 无 法 保证 每 次 重新 协商 后 ， 与 服务 器 通信 的 客户 端 都 是 相同 的 。 
应 用 层 的 代码 显然 很 少 与 加 密 层 交互 。 例 如 ， 如 果 重 新 协商 发 生 在 HTTP 请 求 的 过 程 中 ， 上 
层 应 用 是 得 不 到 通知 的 。 此 外 ，Web 服 务 器 有 时 会 缓存 重新 协商 之 前 的 数据 ， 并 将 这 些 数据 和 重 
新 协商 之 后 的 数据 一 并 发 送 给 上 层 应 用 。 连接 参数 也 有 可 能 发 生变 化 , 例如 一 个 新 的 客户 端 证 书 
可 能 在 重新 协商 之 后 被 使 用 。 最 终 的 结果 就 是 在 TLS 层 面 发 生 的 事情 与 上 层 应 用 了 解 到 的 信息 并 
不 匹配 。 

一 个 中 间 人 (man-in-the-middle，MITM ) 攻击 者 可 以 通过 下 面 三 个 步骤 来 利用 这 个 漏洞 。 

(1) 拦截 一 个 受害 客户 端 到 服务 器 的 TCP 连 接 。 

(2) 新 建 一 个 到 服务 器 的 TLS 连 接 ， 包 含 攻 击 负载 。 

(3) 从 这 时 起 ， 在 受害 客户 端 和 服务 器 之 间 扮 演 透 明代 理 。 对 于 客户 端 来 说 ， 连 接 刚 开始 ， 
它 将 开始 一 个 新 的 TLS 握 手 。 对 于 服务 器 来 说 ， 已 经 在 一 个 已 经 建立 的 TLS 连 接 上 接收 到 了 攻击 
数据 ， 并 且 会 将 客户 端的 TLS 握 手 理解 为 进行 重新 协商 。 一 旦 重新 协商 完成 ， 客 户 端 和 服务 器 便 
开始 交换 应 用 层 数 据 。 攻击 者 的 攻击 负载 和 客户 端的 正常 数据 将 会 被 服务 器 合并 处 理 , 从 而 使 得 
攻击 成 功 。 

图 7-1 展 示 了 攻击 者 是 如 何 危 害 数据 完整 性 的 ; 这 本 来 需要 由 TLS 协 议 进行 保护 。 攻击 者 可 以 
向 应 用 层 协议 的 开头 部 分 注入 任何 数据 。 这 种 攻击 的 影响 主要 取决 于 上 层 协议 和 服务 器 实现 , 具 
体内 容 在 下 文中 讨论 。 


7.1.2 ”触发 弱点 


要 想 利 用 不 安全 重新 协商 进行 攻击 ， 攻 击 者 需要 找到 一 种 能 够 触发 重新 协商 的 方法 。 在 这 
个 漏洞 被 发 现 前 ， 大 多 数 服 务 器 都 是 允许 客户 端 发 起 重新 协商 的 ， 这 说 明 这 些 服务 器 都 是 容易 
受 攻击 的 目标 。 一 个 罕见 的 例外 是 Microsoft 的 IS， 它 从 版 本 6 开始 就 不 再 接受 客户 端 发 起 的 重 
新 协商 。 

但 即使 禁止 了 客户 端 发 起 的 重新 协商 , 依赖 于 客户 端 证 书 校 验 和 支持 SGC 的 网 站 依然 容易 受 
到 攻击 。 攻击 者 只 需要 调查 网 站 在 哪些 情况 下 是 需要 进行 重新 协商 的 。 如 果 类 似 的 条 件 得 到 了 满 
足 , 攻击 者 就 可 以 利用 其 展开 攻击 。 取 决 于 服务 器 端的 配置 ， 如 此 情况 带 来 的 攻击 向 量 和 客户 端 
发 起 的 重新 协商 有 同样 功效 。 
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客户 端 攻击 者 服务 器 


TLS 提 手 请 求 











HTTP 请 求 (攻击 负载 ) 


~ 透 传 客户 端的 原 
、 | 适 的 有 
已 恢复 始 TL S 握 手 请 求 





< TLS 担 手 完 成 | 
GET Te HTTPA 0 





HTTP 请 求 ce 7/ 














图 7-1 ”针对 不 安全 重新 协商 的 中 间 人 攻击 





7.1.3 针对 HTTP 协议 的 攻击 


基于 HTTP 协 议 来 讨论 不 安全 重新 协商 是 最 好 不 过 的 了 。 针对 HTTP 协 议 的 攻击 有 很 多 种 , 它 
们 的 攻击 可 行 性 取决 于 目标 网 站 的 Web 服 务 器 配置 和 受害 者 的 技术 强度 。 一 开始 ， 人 们 只 讨论 了 
种 攻击 手段 , 但 是 随后 安全 社区 成 员 共同 发 现 了 其 他 可 能 的 攻击 方法 。 具体 来 说 , Thierry Zoller 
花费 了 大 量 的 精力 来 跟踪 和 维护 攻击 向 量 "， 并 设计 用 于 概念 验证 的 攻击 。” 





















































g 攻击 向 量 ( attack vector ) 是 指 攻击 者 利用 某 种 IT 系统 的 漏洞 ， 发 送 攻击 负载 或 者 算 改 响应 的 途径 或 方法 ， 也 包括 
人 为 因素 。 一 一 译 考 注 


©® TLS/SSLyv?3 renegotiation vulnerability explained, http:/www.g-sec.lu/tools.html ( Thierry Zoller，2011 年 12 月 23 日 )。 
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1. 执行 任意 的 GET 请 求 

最 容易 进行 的 攻击 就 是 使 用 受害 者 的 凭据 来 执行 任意 的 GET 请 求 。 包 括 攻 击 负载 〈 以 粗 体 表 
示 ) 的 有 效 请 求 和 受害 者 的 请 求 看 起 来 可 能 如 下 所 示 。 

GET /path/to/resource.jsp HTTP/1.0 


X-Ignore: GET /index.jsp HTTP/1.0 
Cookie: JSESSIONID=B3DF4BO7AE33CA7DF207651CDB42136A 


我 们 已 经 知道 ,攻击 者 可 以 在 受害 者 的 请 求 之 前 加 上 任意 的 明文 。 攻 击 者 的 挑战 在 于 ， 如 
何 利用 这 种 能 力 来 控制 攻击 向 量 ， 以 便 使 真正 的 请 求 ( 实际 上 就 是 受害 者 的 请 求 行 ) 无 效 ， 然 
后 利用 含有 关键 信息 ( 例如 会 话 Cookie 或 者 HTTP 基 本 身份 验证 信息 ) 的 部 分 来 成 功 进行 身份 
验证 。 
有 具体 来 说 ,攻击 者 这 样 进行 攻击 : 首先 将 攻击 负载 的 开头 设置 成 一 个 完整 的 HTTP 请 求 行 ， 
这 里 将 会 是 攻击 的 目标 URL; 然后 添加 一 个 不 完整 的 请 求 头 行 (partial header line )， 这 个 请 求 头 
行 是 故意 做 成 不 完整 形态 的 ( 结尾 也 没有 换行 )， 会 使 受害 者 请 求 的 第 一 行 无 效 ， 也 就 是 真正 的 
请 求 行 。 受 害 者 请 求 中 所 有 之 后 的 请 求 头 都 会 成 为 攻击 请 求 的 一 部 分 。 

我 们 从 这 个 过 程 了 解 到 了 什么 ? 攻击 者 可 以 选择 将 请 求 发 到 任何 路 径 , 并 且 随 意 使 用 受害 者 
的 身份 凭据 。 但 是 攻击 者 无 法 实质 上 获取 到 受害 者 的 身份 信息 ， 此 外 相应 的 HTTP 响 应 也 将 返回 
给 受害 者 。 这 看 起 来 很 类 似 于 跨 站 请 求 伪造 ( cross-site request forgery，CSRF 或 XSRF )。 大 部 分 
关心 安全 的 网 站 已 经 处 理 过 这 个 知名 的 Web 应 用 安全 问题 ， 其 他 那些 没有 处 理 CSRF 的 网 站 更 容 
易 遭 受 攻击 。 

这 就 是 最 早 展示 的 攻击 向 量 ; 因为 与 CSRF 相 似 ， 所 以 很 多 人 忽视 了 此 缺陷 ,认为 其 不 重要 。 

2. 身份 凭据 窃取 

在 公开 披露 上 述 攻击 方法 后 ， 改 进 的 攻击 方式 开始 出 现 。 几 天 之 后 ，Anil Kurmus 改 进 了 攻 
击 方法 ， 成 功 地 获取 到 了 加 密 数 据 。” 

大 部 分 人 在 研究 可 能 的 攻击 向 量 时 ， 都 将 注意 力 集中 在 如 何 利用 被 动 持 请 求 中 的 身份 凭据 
( 例如 会 话 Cookie 或 者 HTTP 基 本 身份 验证 信息 )。 Anil 发 现 , 虽然 他 无 法 直接 获取 到 任何 数据 , 但 
是 仍然 可 以 使 用 另外 的 身份 将 这 些 数 据 提交 到 网 站 , 而 此 身份 是 由 他 所 控制 的 (也 可 以 说 是 反问 
会 话 劫持 )。 此 时 就 只 需要 从 网 站 上 获取 这 些 数据 了 。 

他 的 证 明 概 念 攻击 是 针对 Twitter 进行 的 。 他 设法 将 受害 者 的 身份 凭据 信息 ( 在 受害 者 的 HTTP 
请 求 头 中 ) 作为 自己 的 Twitter 消息 发 出 。 下 面 是 该 请 求 〈 攻 击 者 的 负载 以 粗 体 表 示 ): 

POST /statuses/update.xml HTTP/1.0 

Authorization: Basic [attacker's credentials] 


Content-Type: application/x-www-form-urlencoded 
Content-Length: [estimated body length] 






















































































































































































status=POST /statuses/update.xml HTTP/1.1 





QD TLS renegotiation vulnerability: definitely not a full blown MITM, yet more than just a simple CSRF, http://www. 
securegoose.org/2009/11/tls-renegotiation-vulnerability-cve.html ( Anil Kurmus，2009 年 11 月 11 日 )。 
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Authorization: Basic [victim's credentials] 

在 这 个 改进 版 本 的 攻击 中 ， 受 害 者 的 请 求 被 作为 status 参 数 的 内 容 在 请 求 体 中 提交 。 结 果 ， 
Twirtter 将 它 当 成 一 条 Twitter 消息 的 内 容 , 将 其 发 送 到 攻击 者 的 Twitter 流 中 , 这样 攻 击 者 就 可 以 在 
自己 的 Twitter 上 看 到 这 些 信息 。 对 于 其 他 的 网 站 ,攻击 者 也 许可 以 通过 发 送 一 个 论坛 帖子 或 者 给 
自己 发 送 一 封 邮件 等 类 似 的 方法 完成 攻击 。 

这 里 唯一 的 挑战 就 是 获得 正确 的 Content-Length 值 。 因 为 攻击 者 无 法 知道 真实 的 长 度 ， 所 以 
无 法 使 用 正确 的 长 度 。 但 是 , 他 只 需要 设置 一 个 大 到 可 以 覆盖 到 受害 者 请 求 中 敏感 数据 的 长 度 就 
可 以 成 功 地 实施 攻击 。Web 服 务 器 在 读 取 Content-Length 头 中 所 标示 的 长 度 后 ， 就 会 认为 请 求 已 
经 结束 并 进行 处 理 。 受 害 者 请 求 中 的 其 他 数据 会 被 当 作 同一 个 连接 上 的 下 一 个 请 求 进行 处 理 或 者 
被 直接 丢弃 ( 因为 此 时 的 剩余 数据 基本 都 无 法 构成 完整 的 HTTP 请 求 )。 


3. 用 户 重 定 向 
如 果 攻 击 者 可 以 在 一 个 网 站 上 找到 某 个 进行 重 定向 的 资源 ， 他 可 能 成 功 地 执行 以 下 几 种 
攻击 。 

口 将 用 户 重 定向 到 恶意 网 站 
网 站 上 一 个 开放 的 重 定向 点 ， 可 以 让 攻击 者 将 用 户 重 定向 到 他 选择 的 目的 地 。 这 对 于 钓 
鱼 攻击 来 说 非常 理想 ， 因 为 攻击 者 可 以 构造 一 个 被 攻击 网 站 的 复制 品 ， 同 时 还 可 能 使 用 
一 个 相似 的 域名 来 使 得 欺骗 效果 更 好 。 把 域名 变 得 让 人 感到 相似 或 “官方 ”是 很 简单 的 
(例如 ，www.myfeistyduck.com， 而 真正 的 域名 是 www.feistyduck.com )。 最 后 ， 为 了 完成 
钓鱼 攻击 ， 攻 击 者 需要 为 恶意 网 站 获取 一 个 合适 的 证 书 。 

口 连接 降级 至 HTTP 
如 果 攻 击 者 可 以 在 目标 网 站 上 找到 将 用 户 重 定向 到 普通 HTTP 页 面 的 资源 ， 那 TLS 连 接 将 
会 被 有 效 地 降级 ,之 后 攻击 者 可 以 使 用 类 似 sslstrip 这 类 工具 来 获得 对 受害 者 浏览 网 站 的 
全 部 控制 。 

口 通过 重 定向 POST 请 求 帘 获 身份 凭据 
如 果 目 标 网 站 使 用 了 307 重 定向 〈 这 要 求 重 定向 不 修改 原 请 求 的 方法 )， 那 就 有 可 能 将 整 
个 请 求 ( 包括 POST 请 求 体 ) 全 部 发 送 到 攻击 者 指定 的 地 点 。 所 有 的 浏览 器 都 支持 307 重 定 
向 ， 不 过 有 些 浏览 器 会 要 求 用 户 确认 。 "这 种 攻击 是 非常 危险 的 ， 因 为 它 不 依赖 于 目标 网 
站 本 身 的 功能 。 换 句 话 来 讲 ， 就 是 不 需要 攻击 者 在 目标 网 站 上 拥有 账号 。 这 很 关键 ， 
为 真正 有 价值 的 网 站 可 能 并 不 容易 在 其 上 拥有 账号 〈 比如 银行 或 者 其 他 金融 机 构 )。 

Leviathen Security Group 的 论文 中 有 关于 使 用 重 定向 来 进行 不 安全 重新 协商 攻击 的 一 个 较 深 







































































































































































Qz 在 2013 年 7 月 我 最 后 一 次 测试 这 个 特性 的 时 候 ， 最 新 版 本 的 Chrome 、IE 和 Safari 都 会 将 请 求 重 定 向 到 完全 不 同 的 网 
站 而 不 给 出 任何 警告 。Firefox 和 Opera 给 出 了 需要 确认 的 警告 ， 但 是 这 些 提 示 都 可 以 进一步 改进 。 例 如 ，Firefox 
没有 提示 出 请 求 将 会 被 发 往 何 处 。Opera 提 供 了 大 部 分 的 信息 ( 当前 的 地 址 以 及 目标 地 址 )， 以 及 与 这 些 信 息 在 
起 的 多 种 处 理 选项 , 包括 取消 , 对 P05T 方 法 继续 处 理 或 者 转变 成 CET 方法 等 。 这 些 选择 对 普通 用 户 来 说 依然 过 于 令 
人 迷惑 。 
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入 的 探讨 。” 

4. 跨 站 点 脚本 

在 某 些 很 少见 的 情况 下 , 攻击 者 可 能 会 向 受害 者 的 浏览 絮 中 注入 HTML 和 JavaScript 脚 本 来 实 
现 通过 跨 站 点 脚本 ( cross-site scripting, XSS ) 对 其 的 完全 控制 。 这 有 可 能 通过 使 用 HTTP 的 TRACE 
方法 来 实现 ， 该 方法 要 求 服务 器 在 响应 中 镜像 HTTP 请 求 。 在 受 攻击 的 情况 下 ， 镜 像 的 请 求 中 将 
带 有 攻击 负载 。 

这 种 攻击 方法 对 主流 的 浏览 器 不 起 作用 ， 因 为 TRACE 响应 的 内 容 类 型 是 message/http。 但 是 ， 
Thierry Zoller 指 出 ， 有 一 些 不 太 常 用 的 Windows 浏 览 器 总 是 将 响应 当 作 HTML 解析， 这 些 浏 览 器 
是 存在 风险 的 。 此 外 ， 定 制 化 的 脚本 也 缺少 对 响应 类 型 的 检查 ， 它 们 也 许 同 样 存 在 风险 。 


7.1.4 针对 其 他 协议 的 攻击 


虽然 针对 HTTP 协 议 的 攻击 吸引 了 人 们 大 部 分 注意 力 , 但 是 我 们 可 以 假设 所 有 基于 TLS 的 协议 
都 有 可 能 遭受 不 安全 重新 协商 的 威胁 。 任 何在 重新 协商 前 后 不 重 置 会 话 状态 的 协议 都 存在 风险 。 

口 SMTP 
Wietse Venema 是 Postfix 项 目的 一 名 成 员 ， 他 发 表 了 一 篇 关于 不 安全 重新 协商 对 SMTP 和 
Postfix 邮 件 服务 器 的 影响 的 分 析 报 告 ”~。 该 报告 指出 , SMTP 协 议 是 存在 漏洞 的 , 但 是 却 很 
难 利用 其 漏洞 展开 攻击 。 这 是 因为 不 像 HTTP 协 议 , 一 个 SMTP 事 务 由 多 个 命令 和 响应 组 
成 。 他 总 结 到 ，Postfix 不 存在 风险 , 但 这 仅仅 是 运气 比较 好 ， 因 为 某 些 设计 上 的 选择 使 得 
攻击 无 法 展开 。 报 告 同样 给 出 了 一 些 改进 客户 端 和 服务 器 端 软 件 的 方法 来 实现 对 不 安全 
重新 协商 的 防御 。 
不 安全 重新 协商 之 所 以 没有 对 SMTP 产 生 巨大 的 威胁 ， 其 根本 原因 是 大 多 数 SMTP 服 务 器 
都 不 使 用 有 效 的 证 书 ， 这 导致 了 大 多 数 客户 端 不 去 校 验证 书 的 有 效 性 。 换 句 话说 ， 出 于 
这 个 原因 ,针对 SMTP 的 中 间 人 攻击 已 经 是 非常 简单 的 了 ,攻击 者 也 犯 不 着 使 用 更 难 的 方 
法 进行 攻击 了 。 

D FTPS 
Alun Jones 是 WFTPD 的 作者 ， 她 发 表 了 一 篇 关于 不 安全 重新 协商 对 FTPS 的 影响 的 分 析 报 
告 *。 其 主要 结论 是 ， 由 于 在 某 些 FTP 服 务 器 中 文件 传输 的 实现 问题 ， 导 致 中 间 人 攻击 者 
可 以 利用 不 安全 重新 协商 来 告知 服务 器 关闭 命令 通道 的 加 密 功能 。 这 样 ， 传 输 的 文件 的 
完整 性 就 可 能 遭受 攻击 。 



































































































































































































































GD Generalization of the TLS Renegotiation Flaw Using HTTP 300 Redirection to Effect Cryptographic Downgrade Attacks, 
http://www.leviathansecurity.com/white-papers/tls-and-ssl-man-in-the-middle-vulnerability/ ( Frank Heidt 和 Mikhail Davidov， 
2009 年 12 月 )。 

© Redirecting and modifying SMTP mail with TLS session renegotiation attacks, http:/www.postfix.org/wip.html ( Wietse 
Venema，2009 年 11 月 8 日 )。 

©® My take on the SSL MITM Attacks - part 3 - the FTPS attacks, http://blogs.msmvps.com/alunj/2009/11/18/my-take- 
on-the-ssl-mitm-attacks-part-3-the-ftps-attacks/ ( Alun Jones，Tales from the Crypto，2009 年 11 月 18 日 )。 
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7.1.5 由 架构 引入 的 不 安全 重新 协商 问题 


有 时 候 系 统 设 计 和 架构 决策 可 能 会 导致 本 不 应 该 存在 的 重新 协商 问题 的 发 生 。 我 们 用 SSL 印 
载 来 举例 。 这 个 实践 经 常用 于 给 本 不 支持 添加 加 密 的 服务 添加 加 密 , 或 者 用 于 通过 从 主 服 务 点 移 
除 TLS 处 理 来 提高 系统 的 性 能 。 如 果 在 TLS 终 止 点 处 支持 不 安全 的 重新 协商 , 那么 即使 真正 的 Web 
服务 器 很 安全 ， 整 个 系统 也 存在 被 攻击 的 风险 。 
































7.1.6 影响 


不 安全 重新 协商 是 一 个 严重 的 威胁 ， 因 为 它 完全 破坏 了 TLS 本 该 拥有 的 安全 性 。 不 仅 通信 的 
完整 性 遭受 了 攻击 ， 攻 击 者 还 可 能 会 获取 到 通信 内 容 。 同 时 诞生 了 很 多 种 不 同 的 攻击 手段 ， 从 
CSRF 到 凭据 窃取 再 到 充满 欺骗 性 的 钓鱼 攻击 。 因 为 这 种 攻击 的 实施 要 求 攻击 者 具有 良好 的 技术 
背景 和 充分 的 目标 网 站 调查 ， 所 以 进行 这 类 攻击 的 攻击 者 大 多 是 针对 高 价值 网 站 的 主动 攻击 者 。 

对 于 攻击 者 来 说 , 一 个 理想 的 场景 是 针对 自动 化 系统 的 攻击 , 这 种 系统 很 少 检查 错误 , 而且 
没有 记录 足够 的 日 志 , 此 外 还 会 不 停 地 重 试 请 求 直到 请 求 成 功 为 止 。 这 个 场景 极 大 地 扩大 了 攻击 
面 ， 并 且 比 直接 攻击 最 终 用 户 ( 浏览 器 ) 更 加 容易 。 

利用 不 安全 重新 协商 进行 攻击 的 原理 已 经 广为人知 , 并 且 相 关 的 工具 也 可 以 轻易 获得 。 针对 
Twitter 的 概念 验证 攻击 方法 可 以 在 互联 网 上 找到 ， 只 要 对 任何 中 间 人 攻击 工具 进行 小 幅 修 改 , 就 
可 以 实现 该 攻击 方法 。 

对 数据 完整 性 的 破坏 带 来 了 另外 的 边界 效应 , 这 源 于 攻击 者 可 以 使 用 受害 者 身份 提交 任意 数 
据 这 个 事实 。 即 使 攻击 者 无 法 获取 任何 数据 或 者 欺骗 受害 者 , 他 仍然 可 以 伪造 攻击 负载 以 达到 受 
害 者 对 服务 器 进行 攻击 的 效果 。 因 为 大 部 分 网 站 的 日 志 记录 不 足 ， 导 致 这 种 攻击 (使 用 受害 者 身 
份 ) 几乎 无 法 阻止 , 并 对 受害 者 造成 灾难 性 的 后 果 。 因 此 ,最终 用 户 应 该 将 他 们 的 浏览 絮 设 置 为 
只 与 支持 安全 重新 协商 的 服务 器 通信 。” 






































































































































7.1.7 缓解 方法 


有 几 种 不 同 的 方法 可 用 来 处 理 不 安全 重新 协商 问题 ， 其 中 有 一 些 方法 是 比较 合理 的 。 
口 升级 以 支持 安全 的 重新 协商 
2010 年 早期 ， 在 协议 层 引 入 了 Renegotiation Indication 扩 展 以 便 解 决 不 安全 重新 协商 的 
间 题 。? 几 年 之 后 的 今天 ， 你 可 以 认为 所 有 的 产品 都 可 以 进行 升级 来 支持 安全 重新 协商 。 
如 果 你 面临 的 是 正在 使 用 某 些 无 法 升级 的 产品 ,那么 可 能 需要 考虑 是 否 还 继续 使 用 它们 。 
口 禁用 重新 协商 
在 漏洞 被 发 现 的 头 几 个 月 里 ， 唯 一 可 行 的 有 效 缓解 方法 就 是 禁用 重新 协商 功能 。 
这 种 方法 比 支持 安全 重新 协商 要 差 。 首 先 ， 某 些 场 景 确 实 需要 重新 协商 功能 ( 例如 在 需 












































G@ 例如 ， 在 Firefox 的 about:config 页 面 中 ,将 security.ss1.Trequire_safe_negotiation 设 置 更 改 为 true。 
© RFC 5746: TLS Renegotiation Indication Extension, https://tools.ietf.org/html/rfc5746 ( Rescorla 等 ，2010 年 2 月 )。 
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要 对 客户 端 证 书 进行 验证 的 时 候 )。 其 次 ,不 支持 安全 重新 协商 促进 了 网 络 上 的 重新 协商 
的 不 确定 性 ， 使 得 用 户 无 法 有 效 地 保护 自己 。 





禁用 SSL 重 新 协商 是 权宜 之 计 而 非 解决 方法 

我 们 所 有 人 都 应 该 努力 推动 升级 我 们 的 系统 来 支持 安全 重新 协商 。 在 2009 年 或 2010 年 ， 
如 果 你 在 系统 中 关闭 重新 协商 ， 可 能 觉得 这 很 安全 并 且 不 需要 采取 进一步 的 措施 。 从 一 个 很 
狭义 的 角度 来 说 ， 这 是 正确 的 。 然 而 ， 不 支持 安全 重新 协商 会 造成 重大 的 倒退 ， 因 为 这 阻止 


了 浏览 器 采用 更 加 严格 的 重新 协商 策略 。 


不 像 服务 器 ， 要 么 就 是 要 求 重 新 协商 ， 要 么 就 是 接收 到 对 端 主 动 提供 的 重新 协商 请 求 ， 
在 发 生 攻击 时 ， 浏 览 器 无 法 发 现 重 新 协商 是 否 正在 发 生 


商 的 过 程 中 。 


对 于 浏览 器 来 说 , 唯一 可 行 的 保护 自己 的 方法 , 就 是 拒绝 与 不 支持 安全 重新 协商 的 服务 
建立 连接 。 那么 问题 就 产生 了 : 在 互联 网 上 还 存在 着 大 量 的 这 类 服务 器 ， 并且 任何 一 个 浏览 
都 不 希望 自己 无 法 连接 上 这 些 网 站 。 服务 器 禁用 重新 协商 也 许 对 于 自己 来 说 是 安全 的 , 但 是 这 
种 行为 显著 拖延 了 问题 的 解决 周期 ， 因 为 这 种 行为 增加 了 无 法 确定 为 安全 的 服务 器 的 总 数 。 





比 立 - 


。 人 毕竟 ， 浏 览 器 并 没有 参与 到 重新 协 
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7.1.8 


漏洞 发 现 和 补救 时 间 表 


不 安全 重新 协商 漏洞 给 了 我 们 一 个 少 有 的 机 会 来 检查 和 评 佑 我 们 修复 一 个 协议 漏洞 的 能 力 。 
很 明显 ， 在 一 个 像 TLS 这 样 复杂 的 生态 系统 中 ,修复 任 何 问题 都 需要 大 量 的 协作 ， 并 要 花费 数 年 
时 间 。 但 具体 多 少年 呢 ? 图 7-2 给 了 我 们 一 个 很 好 的 参考 。 

在 这 个 时 间 轴 上 我 们 需要 的 东西 大 概 包 括 以 下 各 项 。 

(1) 大 约 6 个 月 来 修复 协议 。 

(2) 在 这 之 后 的 12 个 月 用 来 对 库 和 操作 系统 进行 修复 和 打 补 丁 。 

(3) 再 之 后 的 24 个 月 用 来 对 其 他 大 多 数 系统 进行 修复 ( 或 者 下 线 老 旧 系 统 )。 


根据 Opera 完 成 的 评估 来 看 , 他 们 跟踪 的 系统 中 有 大 约 50% 在 官方 RFC 发 布 之 后 的 一 年 内 , 文 


















































持 了 安全 重新 协商 。? 基 于 同样 的 调查 数据 ，2014 年 2 月 ， 这 一 数字 为 83.3%?。 结论 就 是 我 们 大 概 


需要 4 年 


左右 的 时 候 才 能 处 理 完 这 种 类 























型 的 缺陷 。 





当 我 写 下 这 些 文字 的 时 候 , 也 就 是 2014 年 的 6 月 , 互联 网 上 88.4% 的 服务 器 支持 了 安全 重新 协 
商 ， 数 据 来 自 SSL Pulse 数 据 库 。 “大约 6.1% 的 服务 器 还 在 使 用 不 安全 重新 协商 ， 约 6.8% 的 服务 器 


完全 不 支持 重新 协商 。 各 种 比例 的 服务 器 加 和 之 后 的 总 比例 





























超过 了 100%， 这 是 因为 有 1.3% 的 服 


QD Secure browsing like it’s 1995, https://web.archive.org/web/20140302021900/http://my.opera.com/securitygroup/blog/ 
2011/03/17/secure-browsing-like-its-1995 ( Audun Mathias @ygard，2011 年 3 月 17 日 )。 

© Re: Call for acceptance of draft-moeller-tls-downgrade-scsv, http://www.ietf.org/mail-archive/web/tls/current/msg11270. 
html ( Yngve N. Pettersen，2014 年 2 月 9 日 )。 

@® SSL Pulse, https://www.trustworthyinternet.org/ssl-pulse/ ( SSL Labs， 检索 于 2014 年 7 月 15 日 )。 














7.2 BEAST 169 








务 器 同时 支持 了 安全 的 和 不 安全 的 重新 协商 。 
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图 7-2 不 安全 的 重新 协商 修复 时 间 轴 





7.2 BEAST 


2010 年 夏天 ，Duong 和 Rizzo 公 布 了 一 种 新 的 攻击 方法 ， 可 以 针对 TLS 1.0 以 及 更 早 的 协议 使 
用 , 最终 可 以 获取 到 少量 的 加 密 数 据 的 内 容 。" 这 种 攻击 建立 在 TLS 1.0 协 议 中 已 知 的 可 预测 的 初 
始 向 量 问题 之 上 。 这 个 弱点 已 在 TLS 1.1 中 修复 ， 因 此 被 认为 无 法 利用 其 进行 攻击 ; 但 是 在 发 现 
此 攻击 的 时 间 点 上 ， 几 乎 没有 浏览 器 支持 新 版 本 的 TLS 协 议 。 

很 多 年 里 ， 这 个 所 谓 的 BEAST 攻 击 为 整个 生态 系统 敲 响 了 和 警钟。 第 一 , 它 (再 次 ) 强调 了 攻 
击发 展 得 越 来 越 完 善 。 在 本 节 后 面 你 会 了 解 到 , 这 是 一 个 被 忽略 了 将 近 10 年 之 久 的 潜在 问题 , 却 
在 两 个 积极 主动 的 研究 者 手 里 变 成 了 切实 可 行 的 攻击 手段 -Duong 和 Rizzo 教 育 我 们 不 应 当 和 忽略 小 
问题 ， 因 为 任何 小 问题 都 可 能 最 终 变 成 大 问题 。 















































QD Here come the ® Ninjas, http://www.hit.bme.hu/%7Ebuttyan/courses/EIT-SEC/abib/04-TLS/BEAST.pdf ( Duong 和 Rizzo， 
不 完全 版 本 ，2011 年 6 月 21 日 )。 

















170 第 7 章 协议 攻击 





第 二 ， 对 攻击 的 披露 以 及 造成 的 焦虑 显示 出 浏览 器 厂商 十 分 不 关注 TLS 协 议 。 他 们 与 业界 的 
其 他 软件 厂商 一 样 , 投入 了 太 多 的 精力 来 关注 漏洞 的 可 利用 性 ， 而 对 需要 花费 很 多 年 , 通过 大 量 
的 客户 端 和 服务 器 通力 协作 才能 修复 的 协议 问题 以 及 其 他 类 似 问 题 , 则 根本 不 去 关心 。 这 种 类 型 
的 问题 和 缓冲 区 溢出 这 种 缺陷 相 比 是 截然 不 同 的 ， 后 者 可 以 相对 快速 地 进行 修复 ， 而 前 者 不 能 。 

Thai 在 博客 上 坦率 地 发 表 了 关于 BEAST 的 问题 。" 当 他 没有 能 够 吸引 起 浏览 器 厂商 足够 的 注 
意 时 ,你 能 感受 到 他 的 诅 丧 ,这 是 因为 虽然 他 能 够 在 一 个 模拟 的 环境 中 演示 攻击 ,但 是 却 无 法 在 
实际 环境 中 演示 。 不 过 他 们 没有 放弃 ， 而 是 继续 构建 有 效 的 概念 证 明 环境 , 成功 地 演示 攻击 ,并 
最 终 引 起 了 业界 足够 的 重视 。 

































































7.2.1 BEAST 的 原理 


BEAST 攻 击 针 对 的 是 TLS 1.0 和 更 早 版 本 的 协议 中 对 称 加 密 算法 的 CBC 模 式 。 像 之 前 提 到 的 
那样 , 主要 问题 是 IV 可 以 预测 ,这 就 使 得 攻击 者 可 以 有 效 地 将 CBC 模 式 削 弱 为 ECB( electronic code 
book， 电 子 密码 本 ) 模式 ， 而 ECB 模 式 则 是 不 安全 的 。 


1. ECB Oracle 

ECB 是 最 简单 的 操作 模式 : 它 将 数据 分 割 成 固定 大 小 的 块 并 分 别 进行 加 密 。 这 种 方法 有 几 个 安 
全 问题 , 不 过 我 们 现在 比较 关心 的 是 ECB 不 会 改变 块 加 密 算法 的 确定 性 本 质 。 也 就 是 说 ， 如 果 你 加 
密 的 是 相同 的 数据 块 , 则 加 密 后 的 结果 也 是 相同 的 。 这 对 于 攻击 者 来 说 是 一 个 非常 有 用 的 性 质 : 如 
果 攻 击 者 能 够 提交 任意 数据 进行 加 密 ， 就 可 以 通过 猜测 获取 之 前 加 密 数据 的 内 容 。 流 程 如 下 所 示 。 

(1) 截获 一 段 加 密 数 据 ， 数 据 的 大 小 取决 于 加 密 算 法 ， 例 如 AES-128 是 16 字 节 。 

(2) 对 16 字 节 的 明文 进行 加 密 。 因 为 块 加 密 的 特性 〈 输 入 中 任 一 位 的 变化 将 导致 整个 输出 的 
变化 )， 所 以 攻击 者 每 次 都 猜测 整 块 数据 。 

(3) 将 加 密 后 的 数据 与 第 一 步 中 截获 到 的 加 密 数据 对 比 ， 如 果 两 者 一 致 ， 则 猜测 正确 ， 否 则 
继续 执行 第 二 步 。 

因为 攻击 者 每 次 只 能 猜测 整 块 数据 ,所 以 这 不 是 一 个 好 的 攻击 方法 。 为 了 猜测 16 字 节 的 数据 ， 
攻击 者 需要 进行 2 次 猜测 , 平均 也 要 22 "次 猜测 。 我 们 后 面 会 看 到 , 总 会 有 办 法 来 改进 攻击 效率 。 

2. 可 预测 IV 的 CBC 

CBC 模 式 和 ECB 模 式 的 最 大 区 别 是 ，CBC 使 用 了 一 个 初始 向 量 (initialization vector，IV ) 来 
在 加 密 之 前 掩 码 明文 ， 这 样 做 的 主要 目的 是 隐藏 最 终 密 文中 的 模式 规律 。 采 用 合理 的 掩 码 手段 ， 
即使 在 明文 相同 的 情况 下 , 加 密 后 的 密 文 也 会 完全 不 同 。 因 此 ，CBC 并 不 像 ECB 那 样 受到 明文 猜 
测 的 威胁 。 

为 了 让 IV 切 实 有 效 , 必须 使 IV 在 每 条 消息 上 都 不 可 预测 。 一 种 实现 方法 是 为 每 个 要 加 密 的 数 
据 块 都 准备 一 个 随机 数 。 但 是 这 不 太 实际 ， 因 为 这 会 让 我 们 的 输出 变 成 2 倍 大 。 在 实际 中 ，SSL3 
和 TLS 1.0 中 的 CBC 模 式 只 会 对 符 加 密 数 据 的 开头 使 用 一 个 随机 数 ， 之 后 当前 数据 块 加 密 之 后 的 
























































































































































QD BEAST, http://vnhacker.blogspot.co.uk/2011/09/beast.html ( Thai Duong，2011 年 9 月 5 日 )。 
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密 文 会 作为 下 一 个 数据 块 的 [V， 因 此 我 们 把 这 种 情况 叫 作 “链接 ”( chaining )。 

这 种 “链接 ”的 方法 ， 只 有 在 攻击 者 无 法 看 到 加 密 数据 以 及 无 法 影响 下 一 个 加 密 块 内 容 的 情 
况 下 才 是 安全 的 。 否则 , 简单 地 通过 查看 加 密 数 据 就 可 以 知道 每 个 加 密 块 的 IV 是 什么 。 不 幸 的 是 ， 
TLS 1.0 以 及 更 早 的 版 本 将 整个 连接 当 作 一 个 消息 处 理 , 并 只 为 这 条 消息 的 第 一 个 TLS 记 录 分 配 一 
个 随机 IV， 所 有 后 续 的 TLS 记 录 使 用 前 一 个 加 密 块 作为 自己 的 IV。 由 于 攻击 者 可 以 看 到 全 部 加 密 
数据 ， 他 就 可 以 了 解 到 从 第 二 个 记录 开始 的 每 个 记录 的 IV。TLS 1.1 和 TLS 1.2 使 用 基于 每 个 记录 
的 IV， 因 此 没有 这 种 问题 。 

TLS 1.0 的 这 种 方式 在 面 对 一 个 可 以 提交 任意 明文 数据 进行 对 称 加 密 的 主动 攻击 者 来 说 ,后 
果 是 灾难 性 的 , 攻击 者 可 以 基于 观察 到 的 密 文 的 特征 ， 对 攻击 手段 进行 改造 。 也 就 是 说 ,协议 可 
能 会 受到 一 种 基于 分 块 的 明文 选择 攻击 。 在 IV 可 以 预测 的 情况 下 ，CBC 就 会 降级 成 ECB。 

图 7-3 用 三 个 数据 块 来 展示 这 种 攻击 : 两 个 数据 块 是 浏览 器 发 送 的 ， 一 个 是 攻击 者 (通过 浏 
览 右 ) 发 送 的 。 为 了 简化 描述 ， 我 让 每 个 数据 块 都 对 应 一 个 加 密 块 ， 并 且 没 有 考虑 填充 的 问题 ， 
虽然 TLS 协 议 同样 会 做 填充 。 

攻击 者 的 目的 是 要 获得 第 二 个 数据 块 的 内 容 。 他 没有 办 法 把 第 一 个 数据 块 作为 目标 , 这 是 因 
为 这 个 数据 块 的 IV 永 远 也 不 会 出 现在 网 络 上 。 但 是 攻击 者 在 看 到 第 一 个 加 密 的 数据 块 后 , 就 知道 
了 第 二 个 数据 块 的 IV (ITV; )， 同 样 也 可 以 得 知 第 三 个 数据 块 的 IV (IV;)， 他 自然 也 知道 第 二 个 加 
密 的 数据 块 ( C, )。 

在 看 到 网 络 上 的 前 两 个 数据 块 后 , 攻击 者 接管 用 户 的 浏览 器 并 让 其 提交 攻击 者 制定 的 明文 进 
行 加 密 后 的 数据 。 对 于 每 次 猜测 ， 攻 击 者 都 可 以 观察 网 络 上 的 加 密 数 据 。 因 为 他 知道 所 有 的 TV ， 
因此 攻击 者 可 以 将 用 于 猜测 的 数据 制造 成 特殊 的 形态 来 使 IV 无 效 。 当 猜测 成 功 后 ， 猜 测 的 密 文 
(Cs ) 应 当 与 被 猜 中 的 密 文 ( C, ) 一 致 。 

要 了 解 如 何 可 以 有 效 地 清除 IV， 我 们 必须 看 一 些 数学 上 的 东西 。 我 们 来 看 明文 M,， 其 中 有 
一 些 攻 击 者 要 了 解 的 信息 ， 以 及 M3 ， 就 是 攻击 者 制造 的 猜测 明文 : 


C» - E(M; © IV,) E(M; 中 C1) 
C3 > E(M; © IV;) > E(Ms @ C2?) 


明文 首先 与 它们 的 IV 进 行 异 或 ， 然 后 再 进行 加 密 。 因 为 使 用 的 是 不 同 的 IV， 如 果 M2 和 Ms 相 
同 ， 则 每 次 加 密 后 的 密 文 都 会 不 同 。 但 是 ， 因 为 我 们 知道 所 有 的 IV( Cl 和 C; )， 我 们 就 可 以 用 一 
种 方式 来 抵消 掉 掩 码 数据 的 效果 。 假 设 Ms 是 我 们 要 生成 的 猜测 结果 : 


M=M:®C®C, 
那么 对 Ms 进行 加 密 将 会 是 这 样 : 

C3=E(M;3®C;)=E(Ms®C®C DC)= EM CO) 
那么 如 果 我 们 的 猜测 是 对 的 ， 那 么 我 们 猜测 数据 的 密 文 C3 将 与 第 二 个 数据 块 的 密 文 C; 相 等 : 


C3=E(Ms ® C1)=E(M; OC)=C, 
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真实 内 容 ， 第 二 个 块 中 包含 


攻击 者 要 破解 的 加 密 数据 :攻击 者 提交 的 数据 




















图 7-3 ”针对 可 预测 IV 的 CBC 模 式 的 BEAST 攻 击 


3. 实际 攻击 








虽然 我 们 知道 了 可 预测 IV 问 题 的 具体 情况 ,但 是 由 于 我 们 需要 每 次 猜测 至 少 一 个 整 块 的 数据 
(一 般 为 16 字 节 )， 展 开 攻 击 依然 比较 困难 。 然 而 ， 对 于 HTTP 协 议 ， 我 们 可 以 做 一 些 优 化 。 


足够 了 。 


口 HITP 协 议 通常 含有 小 段 的 敏感 数据 ， 例 如 密码 和 会 话 令 牌 。 因 此 有 时 猜测 16 字 节 就 已 经 








这 说 明了 其 中 只 有 16 种 字符 的 可 能 。 








口 敏感 数据 通常 使 用 有 限 的 字符 集 ， 例 如 会 话 令 牌 通常 都 是 以 十 六 进 制 数字 的 形式 存在 ， 





























可 以 用 于 实际 操作 的 数量 。 


D HTTP 消 息 的 结果 是 非常 容易 预测 的 ， 这 就 说 明了 人 敏感 信息 存在 了 





我 们 熟悉 的 数据 中 。 例 


如 ， 字 符 串 Cookie: 会 永远 存在 于 HTTP 请 求 中 第 一 个 Cookie 的 名 称 之 前 。 
将 上 面 这 些 因 素 考 虑 在 内 后 ,展开 攻击 的 必要 猜测 次 数 显 著 地 减少 了 , 但 是 依然 没有 减少 到 


BEAST 真 正成 为 可 实施 的 攻击 ， 是 在 Duong 和 Rizzo 发 现 了 现代 浏览 器 可 能 会 被 训练 有 素 的 




















攻击 者 操控 , 获得 空前 的 控制 权力 之 后 。 决 定性 的 条 件 是 , 攻击 者 可 以 : ( 
请 求 中 的 位 置 (2) 对 加 密 内 容 及 其 发 送 时 间 进 行 完全 控制 。 











1) 影响 敏感 信息 在 HTTP 


第 一 个 条 件 不 难 满 足 , 例如 要 想 将 Cookie 修 改 到 指定 位 置 ， 只 需要 在 请 求 行 上 加 入 一 些 特定 


内 容 即 可 。 第 二 个 条 件 则 存在 一 些 问题 ， 这 种 级 别 的 控制 无 法 通过 JavaS 


cript 满 足 。 但 是 Duong 和 
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Rizzo 发 现 可 以 使 用 Java applet。 他们 还 需要 利用 一 个 独立 bug 来 让 Java 将 流量 发 送 到 任意 网 站 。 "他 
们 需要 这 样 做 以 使 得 BEAST 攻 击 更 加 通用 并 可 以 用 来 攻击 任何 网 站 。 利用 这 个 Java 中 的 额外 问题 
并 非 总 是 必须 的 。 可 能 可 以 利用 允许 用 户 上 传 内 容 的 网 站 来 上 传 Java applet。 之 后 他 们 在 目标 网 
站 环境 中 运行 这 些 Java applet 并 控制 浏览 器 发 送 数据 。? 

还 有 另外 一 个 条 件 需要 满足 ， 就 是 需要 能 观察 到 加 密 流量 ， 只 有 这 样 才能 决定 下 一 个 IV。 此 
外 ， 这 些 IV 需 要 由 浏览 器 中 的 Java 程 序 发 送 。 

实际 中 , BEAST 是 一 种 主动 的 网 络 攻击 。 虽然 可 以 使 用 社会 工程 学 的 技巧 来 让 受害 者 访问 含 
有 恶意 JavaScript 脚 本 的 网 站 , 但 是 更 简单 的 方式 是 针对 受害 者 访问 的 明文 网 站 进行 动 持 , 然后 将 
恶意 脚本 注入 到 响应 中 。 

如 果 你 能 达成 上 述 所 有 条 件 ， 那 实施 BEAST 攻 击 是 很 容易 的 。 通 过 改变 敏感 数据 在 HTTP 请 
求 中 的 内 容 , 你 可 以 构造 出 一 个 含有 15 字 节 的 已 知 内 容 数 据 和 一 个 1 字 节 敏感 数据 内 容 的 加 密 块 。 
猜测 1 字 节 是 比较 容易 的 ， 你 只 需要 最 多 猜测 2 ( 256 ) 次 , 平均 2”( 128 ) 次 。 假 设 在 低 灼 情况 
下 (例如 十 六 进 制 数字 )， 你 可 以 对 于 每 个 字符 低 到 猜测 8 次 〈 平 均 ); 如 果 对 计算 时 间 要 求 较 高 ， 
还 可 以 并 行 提交 多 次 猜测 。 













































































恶意 JavaScirpt 脚 本 
恶意 JavaScript 脚 本 泛 指 那些 在 受害 者 浏览 器 中 运行 的 恶意 代码 。 大 多 数 恶意 脚本 是 用 来 
攻击 浏览 器 本 身 以 达到 仿冒 用 户 或 者 攻击 其 他 网 站 的 目的 。 BEAST 第 一 个 利用 恶意 JavaScript 
脚本 来 针对 密码 领域 进行 攻击 ， 并 在 之 后 被 大 量 模仿 。 你 可 以 在 本 章 稍 后 部 分 找到 相关 细节 。 
对 于 恶意 JavaScript 脚 本 的 使 用 是 改变 安全 模型 的 一 个 很 好 的 例子 。 在 1994 年 SSL 协 议 最 
早 被 设计 出 来 的 时 候 ， 浏 览 器 还 只 能 进行 简单 的 HITML 浑 染 。 今 天 ， 它 们 已 经 成 为 了 强大 的 
应 用 交付 平台 。 











7.2.2 ”客户 端 缓解 方法 

BEAST 是 发 生 在 客户 端的 一 种 缺陷 ， 因 此 需要 将 解决 问题 的 措施 部 署 在 客户 端 。 在 2004 年 ， 
该 问题 首次 被 发 现 之 后 ，OpenSSL 尝 试 通过 在 每 个 真 TLS 记 录 前 插入 一 个 空 TLS 记 录 的 方式 来 解 
决 此 问题 。 在 这 种 方法 下 ， 虽然 攻击 者 可 以 预测 到 下 一 个 IV， 但 是 这 个 IV 是 给 没有 内 容 的 0 长 度 
TLS 记 录 使 用 的 。 有 效 的 数据 在 之 后 的 TLS 记 录 中 传输 ,但 是 这 个 记录 使 用 了 攻击 者 无 法 进一步 
得 知 的 IV， 这 就 说 明了 无 法 进行 攻击 。 


























J@ 在 没有 获得 许可 的 情况 下 , Java Applet 与 它们 的 父 网 站 通信 。 这 个 限制 也 叫 作 同 源 策 略 ( same-origin policy, SOP )。 

Duong 和 Rizzo 发 现 了 一 种 绕 过 此 限制 的 方法 .这 种 绕 过 方法 目前 是 否 还 有 效 尚 不 清楚 ,我 参考 了 2013 年 发 行 的 Java 

版 本 ， 这 个 问题 依然 还 存在 ， 不 过 需要 额外 的 一 些 工 作 来 触发 它 。 

@) The pitfalls of allowing file uploads on your website, http://labs.detectify.com/post/86302927946/the-lesser-known- 
pitfalls-of-allowing-file-uploads ( Mathias Karlsson 和 Frans Rosén，2014 年 5 月 20 日 )。 
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不 幸 的 是 ， 这 个 方法 在 实际 中 没 用 ， 这 是 因为 有 些 浏览 器 对 0 长 度 TLS 记 录 支 持 得 
因为 在 当时 并 没有 实际 的 BEAST 攻 击 产生 ， 
所 知 ， 还 没有 任何 一 个 SSL 库 解决 了 这 个 问题 。 


























分 不 好 。 


因此 OpenSSL 放 弃 了 这 个 修改 , 到 目前 为 止 ， 据 我 们 


在 2011 年 开始 , 浏览 器 使 用 了 一 种 空 记录 技术 的 变种 来 抵御 BEAST 攻 击 。 该 方法 叫 作 1/n -1 
分 割 ， 由 Xuelei Fan 提 出 。? 该 方法 仍然 是 发 送 两 个 TLS 记 录 ， 但 是 将 应 用 层 数据 的 第 一 字 节 放 在 


了 第 一 个 记录 中 , 其 余 的 字 节 放 在 第 二 个 记录 中 。 这 个 方法 为 数据 创造 了 有 效 的 随机 IV: 









































AAA 
第 二 个 


记录 中 的 数据 是 安全 的 。 整 个 数据 的 第 一 字 节 仍然 使 用 了 可 预测 的 IV, 但 是 因为 这 字 节 所 在 的 加 


密 块 中 ,至 少 存在 随机 的 、 并 1 











者 无 法 很 容易 地 猜测 到 这 些 字 节 。 
1/n -1 分 割 要 比 原始 的 防御 方法 更 好 , 但 是 其 部 署 过 程 依然 不 太 顺 利 。Chrome 最 早 实现 了 


这 
个 方法 ， 但 是 很 快 就 不 得 不 回 退 掉 这 个 修改 ， 因 为 太 多 的 网 站 不 兼容 而 导致 无 法 访问 。 但 是 由 
复 





























日 每 个 记录 都 不 相同 的 其 他 7 字 节 (更 常见 的 是 15 字 节 )， 所 以 攻击 




















于 Chrome 浏 览 器 的 开发 者 坚持 这 个 修改 ， 不 和 久之 后 其 他 的 浏览 器 厂商 也 加 入 到 其 中 ， 使 得 修 
可 以 推广 开 。 
1/n - 1 分 割 的 开销 在 于 ， 每 次 客户 端 发 送 数据 的 时 候 ， 都 有 额外 的 37 字 节 要 发 送 。” 
表 7-1 显 示 了 在 主流 平台 上 的 BEAST 修 复 进 度 。 


































































































表 7-1 主流 库 、 平 台 和 浏览 器 的 BEAST 缓 解 进展 
产 品 版 本 〈 时 间 ) 注 释 
Apple OS X v10.9 Mavericks (2013 年 10 lm 一 1 分 割 从 10.8.5 版 本 开始 提供 ， 不 过 默认 是 禁用 的 。 原 本 的 设计 
月 22 日 ) 和 v10.8.5 Mountain Lion 是 可 以 对 此 功能 进行 配置 但 是 一 个 bug 导 致 了 默认 值 无 法 被 修改 * 
(2014 年 2 月 25 日 ) 
Chrome ”v16 (2011 年 12 月 16 日 ) 最 早 在 v15 中 引入 ,但 是 进行 了 回 退 ， 因 为 很 多 网 站 无 法 正常 浏览 
Firefox v10 (2012 年 1 月 31 日 ) 在 v9 的 时 候 就 计划 开发 ， 但 是 Mozilla 在 最 后 一 刻 改 了 主意 ， 主 要 是 
为 了 给 不 兼容 的 网 站 更 多 的 时 间 进 行 升级 " 
Microsoft ”MS12-006° (2012 年 1 月 10 日 ) 该 缓解 手段 在 下 浏览 器 中 启用 ,但 是 其 他 使 用 Schannel (Microsoft 
的 TLS 库 ) 的 软件 则 默认 没有 启用 。Microsoft 推 荐 在 没有 浏览 器 的 
场景 下 使 用 TLS 1.1 来 解决 BEAST 问 题 。Microsoft 知 识 库 的 2643584 
文章 详细 地 讨论 了 相关 配置 
NSS v3.13 (2011 年 10 月 14 日 ) 对 所 有 应 用 程序 默认 启用 
OpenSSL ”尚未 缓解 此 问题 由 bug 过 635 跟 踪 ! 























GD Bug #665814, comment #59: Rizzo/Duong chosen plaintext attack (BEAST) on SSL/TLS 1.0, https://bugzil 


org/show_bug.cgi?id=665814#c59 (Xuelei Fan，2011 年 7 月 20 日 )。 


© BEAST followup https:/www.imperialviolet.org/2012/01/15/beastfollowup.html ( Adam Langley，2012 年 1 
组 的 时 候 并 没有 采 
j 层 数据 可 能 依然 是 安全 的 ， 因 
j 层 数据 被 发 送 之 前 ，TLS 需 要 以 自 
因为 每 次 连接 该 消息 都 发 生变 化 。 但 是 ， 
能 被 加 密 。 理 论 上 ， 未 来 的 变化 可 能 使 得 TLS 更 加 容易 受 至 
因此 TLS 1.0 的 服务 器 中 是 很 少 有 支持 这 些 新 特性 的 。 在 TLS 1.1 中 


@@) 某 些 客 


这 节省 了 带宽 但 是 降低 了 安全 性 。 应 | 
密 的 数 
可 能 不 是 那么 引 人 注 意 ， 



































消息 中 








中 被 修复 ， 
小 相等 ， 


户 端 ( 例如 Java 和 OS X ) 在 第 
































据 。 然 而 ， 在 任何 应 











时 防 利 





























a.mozilla. 


月 15 日 )。 








BEAST 的 对 策 ， 它 们 在 第 二 组 之 后 才 开 
为 如 遇 








己 的 








的 使 






































岂可 











一 般 是 16 字 节 。 


























也 曾 


台 实 施 。 


要 实施 一 次 猜测 ， 你 至 少 要 先 看 到 加 
加 密 ， 





ti 是 Finished 消 息 ， 该 消 














TLS 协 议 在 进化 ， 
攻击。 在 实际 
， 新 增加 
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其 他 的 位 和 字 节 在 第 





PpP，BEAST 攻 击 在 TLS 1.1 








的 开销 与 一 个 加 密 块 的 大 
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( 续 ) 
Vi 品 版 本 〈 时 间 ) 注 释 
Opera v11.60s (2011 年 12 月 6 日 ) “修改 了 一 个 低 严 重 级 别 的 问题 ， 该 问题 由 Thai Duong 和 Juliano 


Rizzo 发 现 ; 细节 将 在 随后 公布 ”出 现在 v11.51 的 Release Note 中 , 但 
是 之 后 该 说 明 却 被 删除 了 

















Oracle JDK 6u28 and 7ul (2011 年 10 月 18 
日 ) " 
a Apple enabled BEAST mitigations in OS X 10.9 Mavericks , http://blog.ivanristic.com/2013/10/apple-enabled-beast-mitigations- 
in-mavericks.html (Ivan Ristié，2013 年 10 月 31 日 )。 
b Bug#702111: Servers intolerant to 1/n-1 record splitting. “The connection was reset” , https://bugzilla.mozilla.org/show_bug. 
cgi?id=702111 (Bugzilla@Mozilla，2011 年 11 月 13 日 )。 
c Microsoft Security Bulletin MS12-006, https://technet.microsoft.com/library/security/ms12-006 (2012 年 1 月 10 日 )。 
d Microsoft Knowledge Base Article 2643584, https://support.microsoft.com/en-us/kb/2643584 (2012 年 1 月 10 日 )。 
e NSS 3.13 Release Notes, https://groups.google.com/foruny/#!msg/mozilla.dev.tech.crypto/KMn9LWX3vVU/-XKglCaGHLceJ 
(2011 年 10 月 14 日 ) 。 
f Bug #2635: ln-l record splitting technique for CVE-2011-3389, https://rt.openssl.org/Ticket/Display.html?id=2635&user 
=guest&pass=guest (OpenSSL bug tracker， 创 建 于 2011 年 10 月 )。 
g Opera 11.60 for Windows changelog, http:/www.opera.com/docs/changelogs/windows/1160/ (2012 年 12 月 6 日 )。 
h Oracle Java SE Critical Patch Update Advisory - October 2011, http://www.oracle.com/technetwork/topics/security/Javacpuoct 
2011-443431.html (Oracle 公 司 的 网 站 )。 


很 多 客户 端 工具 ( 例如 , 库 和 命令 行程 序 ) 依然 没有 使 用 1/n - 1 方法 , 因此 理论 上 存在 风险 ， 


但 是 它们 不 太 容 易 被 攻击 。 在 没有 办 法 向 通信 注入 任意 明文 的 情况 下 , 攻击 者 无 法 利用 此 漏洞 展 
开 攻 击 。 
































7.2.3 ”服务 器 端 缓解 方法 


虽然 BEAST 可 以 在 客户 端 解决 , 但 是 我 们 依然 无 法 控制 数量 巨大 的 浏览 器 的 升级 过 程 。 但 是 
因为 Chrome 及 其 自动 更 新 的 出 现 ， 使 得 事情 好 了 很 多 。Firefox 现 在 也 在 使 用 同样 的 策略 ， 并 且 
Microsoft 可 能 也 将 会 采取 这 种 策略 。 但 是 依然 有 大 量 存在 漏洞 的 浏览 器 没有 修复 。 

直到 2013 年 , 在 服务 器 端 抵御 BEAST 的 较 好 的 方法 是 使 用 RC4 算 法 。 因 为 不 会 再 有 CBC 模 式 
出 现 , 所 以 也 就 没有 受 BEAST 攻 击 的 可 能 。 但 是 在 2013 年 早期 我 们 发 现 了 两 种 新 的 攻击 , 一 个 是 
针对 RC4 的 ， 另 外 一 个 则 针对 TLS 的 CBC 构 建 ( 在 本 章 稍 后 部 分 将 详细 介绍 这 两 种 攻击 )。RC4 
暴露 出 来 的 问题 使 得 我 们 无 法 继续 在 服务 器 端 使 用 其 来 抵御 BEAST 攻 击 。 

现在 摆 在 我 们 面前 的 问题 是 ， 让 用 户 要 么 遭受 BEAST 的 威胁 ,要 么 遭受 RC4 漏 洞 的 威胁 。 因 
为 这 两 种 攻击 在 实际 中 都 不 太 可 能 发 生 , 所 以 选择 起 来 比较 困难 。 在 这 种 情况 下 ,我 们 就 需要 考 
虑 得 更 长 远 一 些 。 如 果 你 能 找到 满足 之 前 那些 条 件 的 受害 网 站 , 才能 进行 BEAST 攻 击 , 这 说 明了 
大 规模 地 进行 BEAST 攻 击 是 不 可 能 的 。BEAST 更 适合 对 有 针对 性 的 用 户 进 行 攻击 ， 并 且 还 得 假 
设 用 户 使 用 了 没有 打 补 丁 的 软件 并 且 启 用 了 Java。 但 是 整体 的 攻击 成 功率 会 很 低 。 更 重要 的 是 ， 
随 着 时 间 的 推移 ， 攻 击 成 功 的 可 能 性 会 越 来 越 小 。 
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7.2.4 历史 


可 预测 IV 问 题 的 历史 ,最 早 要 追溯 到 1995 年 ， 0 
草稿 "， 有 关 密 码 学 相关 构造 的 评论 文章 。 他 指出 
人 让 攻击 者 无 法 预测 到 IV 是 必要 的 。 
很 明显 , 该 问题 没有 被 广泛 理解 , 证 据 就 是 可 预测 的 IV 出 现在 了 SSL3( 1996 年 ) 以 及 TLS 1.0 
(1999 年 ) 的 协议 中 。 
2002 年 ， 该 问题 在 SSH 协 议 ? 中 被 再 次 发 现 并 同时 发 现 可 以 用 于 TLS 协 议 ”。 使 用 空 TLS 记 录 
的 解决 方法 在 2002 年 5 月 的 时 候 引 入 OpenSSL， 但 是 仅仅 两 个 月 之 后 就 被 禁用 ， 因 为 这 种 方法 引 
起 了 很 多 兼容 性 问题 ,包括 正在 内 的 一 些 浏 览 右 无 法 正确 处 理 空 TLS 记 录 。" 
显然 ,当时 没有 人 认为 这 个 问题 值得 继续 跟 进 ， 因 此 也 就 没有 人 来 寻找 抵御 攻击 的 方法 。 这 
几乎 在 真正 的 攻击 被 发 现 之 前 ， 浪 费 了 几乎 10 年 的 时 间 。 依 然 , 那 年 有 两 篇 论文 : 一 个 是 讨论 如 
何 修复 SSH 协 议 ”， 另 外 一 个 是 讨论 关于 分 块 适应 性 攻击 的 话题 ， 这 其 中 就 涉及 CBC 模 式 "。 
2004 年 ，Gregory Bard 展 示 了 TLS 中 的 可 预测 IV 是 如 何 被 利用 来 获取 敏感 数据 的 。? 他 指出 了 
SSL 3.0 和 TLS 1.0 中 CBC 模 式 加 密 的 内 在 问题 : 
我 们 演示 了 : 该 问题 在 SSL 中 引入 了 一 个 漏洞 ， 这 个 漏洞 可 以 很 容易 地 将 像 密码 或 
RR 我 们 认为 ，Web 浏 览 器 的 开放 天 性 使 
得 通过 有 问题 的 插件 而 形成 攻击 的 注入 点 是 可 行 的 …… 
Bard 没 有 找到 一 种 可 以 实际 进行 攻击 的 方法 , 但 是 不 久 便 发 表 了 另外 一 篇 论文 ”, 讨论 了 SSL 
上 的 分 块 适应 性 明文 选择 攻击 。 论文 中 说 明了 敏感 数据 在 加 密 块 中 的 位 置 会 极 大 地 影响 要 恢复 密 
文 的 猜测 次 数 。 



































QD Problems with Proposed IP Cryptography, http://web.cs.ucdavis.edu/~rogaway/papers/draft-rogaway-ipsec-comments- 
00.txt (Phil Rogaway，1995 年 4 月 3 日 )。 

© An Attack Against SSH2 Protocol, http:/www.weidai.com/ssh2-attack.txt ( Wei Dai, 2002 年 2 月 6 日 )。 

® Re: an attack against SSH2 protocol, http://www.mail-archive.com/openssl-dev@openssl.org/msg10664.html ( Bodo 

Moeller，2002 年 2 月 8 日 )。 

@ 不 过 即使 这 种 对 策 依然 保留 ， 可 能 也 无 法 解决 BEAST 攻 击 。TLS 是 一 种 双 工 协议 ， 有 着 两 个 独立 的 数据 流 ， 一 个 

1 客户 端 发 出 ， 另 一 个 由 服务 器 发 出 ,两 者 使 用 单独 的 IV。 ee 片段 缓解 技术 无 法 修复 客户 端 流 

中 的 相同 漏洞 ， 而 客户 端 流 中 的 漏洞 正 是 BEAST 攻 击 的 重点 。 浏 览 器 使 用 的 TLS 库 〈 例如 NSS 和 SChannel ) 没有 

针对 可 预测 IV 的 防御 方法 。 

@) Breaking and Provably Repairing the SSH Authenticated Encryption Scheme: A Case Study of the Encode-then-Encrypt- 
and-MAC Paradigm, https://eprint.iacr.org/2002/078.pdf ( Bellare 、Kohno 和 Namprempre，Ninth ACM Conference on 
Computer and Communication Security，2002 年 11 月 18 日 )。 


© Blockwise-Adaptive Attackers: Revisiting the (In)Security of Some Provably Secure Encryption Modes: CBC, GEM, 
IACBC, http://link.springer.com/content/pdf/10.1007%2F3-540-45708-9_2.pdf ( Joux 、Martinet 和 Valette, 第 17~30 页 ， 
CRYPTO 2002 )。 

© Vulnerability of SSL to Chosen-Plaintext Attack , http://eprint.iacr.org/2004/111 ( Gregory V. Bard，ESORICS，2004 年 )。 

人 @@A Challenging but Feasible Blockwise-Adaptive Chosen-Plaintext Attack on SSL, https://eprint.iacr.org/2006/136.pdf 
( Gregory Bard，SECRYPT，2006 年 )。 
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这 个 协议 上 的 漏洞 最 终 在 2006 年 的 TLS 1.1 协 议 中 被 修复 , 采用 的 方法 是 为 每 个 TLS 记 录 设 置 
一 个 随机 IV。 然 而 ， 修 复 协 议 并 没有 收 到 良好 的 效果 ， 因 为 大 多 数 浏 览 器 都 没有 实现 新 的 协议 。 
只 有 在 2011 年 BEAST 漏 洞 被 发 现 之 后 ， 浏 览 器 厂商 才 开 始 考虑 支持 新 的 协议 。 

2011 年 ， 大 部 分 库 和 浏览 器 厂商 实现 了 1/n - 1 分 割 缓解 技术 。 与 花费 大 量 时 间 进 行 问题 研究 
相 比 ， 修 复 其 实 很 简单 : 对 于 NSS， 只 改动 了 30 行 代码 。” 

Apple 在 直到 2013 年 才 在 他 们 的 TLS 库 中 实现 了 防御 BEAST 的 技术 ( 也 包括 Safari )。 对 于 协 
议 的 支持 ， 直 到 2013 年 底 主 流 浏览 器 才 都 开始 默认 支持 TLS 1.2。 




















7.2.5 ”影响 


如 果 BEAST 攻 击 成 功 之 后 , 攻击 者 可 以 获得 受害 者 的 会 话 赁 据 , 攻击 者 可 以 使 用 此 凭据 来 访 
问 整个 目标 网 站 。 基于 此 , 他 可 以 在 目标 网 站 上 以 受害 者 的 身份 执行 任意 操作 。 在 正确 的 条 件 下 ， 
BEAST 容 易 发 起 ， 但 是 实际 上 很 难 满足 这 样 的 条 件 ， 尤 其 是 在 当下 。 

为 产生 BEAST 攻 击 的 本 质 是 协议 的 漏洞 ,所 以 在 攻击 被 确认 的 时 候 ,几乎 所 有 的 SSL 和 TLS 
客户 端 都 存在 风险 。BEAST 是 客户 端 才 有 的 漏洞 。TLS 有 两 条 数据 流 ， 一 条 为 客户 端 到 服务 器 ， 
另外 一 条 是 服务 器 到 客户 端 ,BEAST 攻 击 瞄准 的 是 客户 端的 数据 流 并 且 要 求 攻击 者 可 以 精确 控制 
发 向 服务 器 的 数据 。 这 种 交互 能 力 非常 关键 ,如 果 没 有 这 种 能 力 ， 攻 击 就 无 法 成 功 。 虽然 服务 器 
端的 数据 流 也 存在 同样 的 问题 ,但 是 由 于 攻击 者 无 法 控制 服务 器 的 响应 数据 ， 在 服务 器 端 进行 
BEAST 攻 击 没 有 可 能 。 

除了 可 交互 的 需求 之 外 ， 还 需要 满足 以 下 两 个 额外 的 服务 器 控制 的 条 件 。 

口 CBC 模 式 的 套件 需要 优先 

因为 只 有 CBC 模 式 的 套件 才 会 有 问题 , 所 以 如 果 服 务 器 配置 的 密码 套件 中 的 RC4 优 先 级 比 
CBC 高 的 话 (或 者 根本 不 支持 CBC )， 则 BEAST 攻 击 无 法 开展 。 即 使 客户 端 和 服务 器 端 都 
支持 CBC 模 式 的 套件 ， 攻 击 者 也 无 法 控制 套件 的 选择 。 

口 禁用 TLS 压 缩 

TLS 可 以 在 加 密 之 前 对 内 容 进行 压缩 。 压缩 并 不 能 防止 BEAST 攻 击 , 但 是 却 能 使 其 更 加 困 
难 。 正 常 来 讲 ， 攻 击 者 发 送 的 数据 是 加 密 传输 的 。 在 启用 压缩 的 情况 下 ， 内 容 首 先 被 压 
缩 ， 这 意味 着 攻击 者 不 知道 压缩 后 的 内 容 是 什么 。 为 了 让 攻击 生效 ,攻击 者 需要 猜测 压 
缩 后 的 数据 ， 这 是 十 分 困难 的 。 因 此 ，Duong 和 Rizzo 实 现 的 BEAST 攻 击 原始 版 本 无 法 针 
对 进行 压缩 的 TLS 数 据 展开 攻击 。 在 我 的 评估 中 , 在 BEAST 攻 击 被 发 现 的 时 候 , 互联 网 上 
大 概 有 一 半 的 服务 器 启用 了 TLS 压 缩 。 然 而 ， 客 户 端 支持 TLS 进 行 压缩 的 比例 在 那 时 比较 
低 ， 时 至 今日 则 几乎 没有 客户 端 支持 压缩 了 。 

再 回头 来 看 交互 性 , 浏览 器 本 身 并 没有 执行 攻击 的 能 力 , 这 也 是 作者 们 使 用 第 三 方 插件 来 完 

成 攻击 的 原因 。 最 终 的 攻击 用 Java 实 现 并 利用 了 一 个 Java 插 件 已 知 的 漏洞 。 这 说 明 浏 览 器 支持 Java 


















































































































































QD cbcrandomivpatch ，http:/src.chromium.org/viewvc/chrome/trunk/srcmnetthird_partymnss/patches/cbcrandomivpatch?pathrev= 
97269 ( Chromium 中 的 NSS 1/n-1 补 丁 ，2011 年 8 月 18 
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也 是 完成 攻击 的 另外 一 个 条 件 。 

下 面 是 对 完成 攻击 所 需 条 件 的 总 结 。 

(D 攻击 者 必须 能 够 在 靠近 受害 者 的 位 置 进行 中 间 人 攻击 。 例 如 ,任何 Wi-Fi 环 境 或 者 局 域 网 
环境 都 可 以 。 很 强 的 密码 学 经 验 和 编程 技巧 是 完成 攻击 的 必要 条 件 。 

(2) 受害 者 的 浏览 器 中 必须 安装 Java 插 件 。Java 在 那个 年 代 是 广泛 存在 的 ， 因此 这 个 要 求 很 容 
易 满足 。 
(3) 为 了 能 通过 目标 网 站 的 吴 份 验证 ， 受 害 者 还 必须 访问 其 他 被 攻击 者 控制 的 网 站 。 这 可 以 
使 用 社会 工程 学 方法 来 达成 。 同 样 ， 攻 击 者 可 以 劫持 任何 明文 HTTP 网 站 。 因 为 大 多 数 网 站 仍然 
没有 加 密 ， 所 以 这 个 条 件 可 以 很 容易 满足 。 

(4) 服务 器 必须 默认 使 用 CBC 套 件 并 且 禁 用 压缩 。 说 来 有 趣 ， 大 量 服务 器 满足 这 个 条 件 。 

综 上 所 述 , 在 BEAST 攻 击 被 公开 的 时 候 , 尽管 有 诸多 的 限制 条 件 , 执着 的 攻击 者 还 是 可 以 相 
对 容易 地 展开 攻击 。 

今天 的 状况 发 生 了 很 大 的 变化 ， 主 要 是 因为 所 有 的 现代 浏览 器 (也 包括 Java ) 都 已 经 实现 了 
BEAST 攻 击 的 防御 方法 。 此 外 ， 由 于 浏览 器 运行 Java 的 不 安全 性 所 导致 的 Java 使 用 的 压制 ， 也 使 
得 攻击 变 得 更 加 困难 。 这 一 切 都 是 假设 你 的 用 户 群 已 经 升级 他 们 的 软件 , 某 些 依然 运行 老 昌 软件 
的 用 户 则 还 会 受到 威胁 。 

整个 生态 系统 正在 缓慢 地 支持 TLS 1.2 协 议 , 虽然 全 部 支持 TLS 1.2 依 然 还 需要 很 长 的 时 间 。 
不 过 遭受 BEAST 威 胁 的 用 户 和 服务 右 的 规模 变 得 越 来 越 小 ， 由 此 造成 的 风险 现在 也 变 得 非常 低 。 


7.3 压缩 旁 路 攻击 


压缩 旁 路 攻击 属于 消息 长 度 旁 路 攻击 的 一 种 特殊 形式 。 我 们 来 假设 一 个 场景 ; 你 可 以 观察 到 
某 个 人 在 使 用 网 上 银行 时 的 加 密 通信 数据 。 为 了 获取 到 账户 的 当前 余额 , 网 上 银行 的 客户 端 可 能 
会 调用 一 个 API。 仅 仅 通过 观察 响应 的 大 小 就 可 以 评估 出 大 致 的 数值 : 富裕 受害 者 的 账户 余额 会 
有 更 多 的 数字 ， 这 使 得 响应 的 长 度 更 长 。 

结果 就 是 当 使 用 了 压缩 并 且 攻 击 者 可 以 提交 自己 的 数据 进行 压缩 的 时 候 , 就 形成 了 一 个 压缩 
预示 。 在 本 节 中 ,我 将 讨论 一 系列 与 压缩 相关 的 、 针 对 TLS 的 攻击 ,包括 CRIME TIME 和 BREACH。 
























































































































































7.3.1 压缩 预示 如 何 生效 


压缩 在 这 个 上 下 文中 很 有 趣 , 因为 它 改变 了 数据 的 大 小 和 数据 本 身 的 差异 。 如 果 你 仅 能 观察 
到 压缩 率 ,那么 灵 怕 你 将 无 法 进行 有 价值 的 攻击 ,因为 只 能 推断 出 数据 是 否 被 进行 了 较 好 的 压缩 。 
最 好 的 结果 就 是 你 可 能 会 基于 此 来 分 辨 出 不 同 的 数据 类 型 。 例 如 , 文本 的 压缩 效果 比较 好 ,而 图 
片 则 不 太 好 。 

如 果 你 可 以 提交 自己 的 数据 进行 压缩 , 并 且 将 它 与 其 他 加 密 数 据 ( 要 解密 的 内 容 ) 混 合 起 来 ， 
那么 这 个 攻击 会 变 得 更 加 有 趣 。 在 这 种 情况 下 ， 你 的 数据 会 影响 压缩 的 过 程 ; 通过 改变 数据 ,你 
可 以 观察 还 有 其 他 哪些 数据 会 一 并 被 压缩 。 
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为 了 了 解 为 什么 这 种 攻击 十 分 严重 ,我 们 需要 来 看 一 下 压缩 是 如 何 工 作 的 。 本 质 上 ,所 有 的 
无 损 压 缩 算法 都 是 通过 去 掉 重 复 的 方式 展开 工作 的 。 如 果 某 个 字符 串 重 复出 现 了 2 次 以 上 ， 在 输 
出 中 则 只 会 包括 该 字符 串 的 一 份 副本 ,并 带 有 该 份 副本 会 出 现在 哪里 的 位 置信 息 。 例如， 以 非常 
流行 的 LZ77 算 法 为 例 ， 它 的 工作 原理 如 图 7-4 所 示 。 









































If you cant forgive yourself, 


how[canl youl forgive |someone else? 





























图 7-4 ”压缩 算法 通过 识别 并 去 掉 重 复 的 方法 来 减 小 数据 大 小 


我 们 说 一 个 预示 ( Oracle ) 是 存在 的 ， 如 果 你 能 让 任意 的 数据 ( 猜测 数据 ) 和 某 些 加 密 数据 
在 同一 个 上 下 文中 被 压缩 。 通过 观察 压缩 数据 的 输出 ,你 能 确定 猜测 是 否 正 确 。 如 何 确定 ?如 果 
你 猜测 的 是 对 的 , 那么 压缩 就 会 生效 并 使 得 压缩 后 的 数据 变 小 , 这 样 你 就 知道 你 猜测 的 数据 是 正 
确 的 。 如 果 你 提交 随机 内 容 ， 因 为 没有 压缩 ， 所 以 输出 的 数据 长 度 会 变 大 ( 如 图 7-5 所 示 )。 










































































GET /JSESSIONID=X HTTP/1.1 GET /JSESSIONID=B HTTP/1.1 
Host: www.example.com Host: www.example.com 


Cookie: JSESSIONID=B3DF4BO7AE33CA Cookie: JSESSIONID=B3DF4BO7AE33CA 





不 正确 的 猜测 正确 的 猜测 
73 字 市 被 压缩 72 字 布 被 压缩 




















图 7-5 压缩 预示 : 一 个 正确 的 例子 和 一 个 不 正确 的 例子 


在 接 下 来 的 几 节 中 , 你 会 看 到 虽然 开展 实际 的 攻击 还 存在 诸多 障碍 , 但 是 攻击 背后 的 理论 就 
是 如 此 简单 。 





























言 息 泄露 是 TLS 协 议 的 缺陷 吗 ? 
信息 泄露 看 起 来 是 SSL/TLS 协 议 的 缺陷 ， 但 是 实际 上 这 只 是 一 个 被 记录 在 案 的 局 限 性 。 
下 面 是 TLS 1.2 协 议 的 相关 部 分 : 
任何 被 设计 为 基于 TLS 使 用 的 协议 都 必须 进行 小 心地 设计 以 处 理 所 有 可 能 的 、 
针对 其 进行 的 攻击 。 作 为 一 种 实践 ， 这 意味 着 协议 的 设计 者 需要 了 解 TLS 提 供 以 
及 不 提供 哪些 安全 属性 ， 并 且 明 和 白 不 能 对 后 者 产生 依赖 。 
从 实际 情况 来 说 ，TLS 记 录 的 类 型 和 长 度 是 不 被 加 密 保护 的 。 如 果 此 信息 本 
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身 是 敏感 的 ， 应 用 层 协议 的 设计 者 需要 采取 措施 ( 填充 、 履 盖 流 量 ) 来 最 大 程度 地 

减少 信息 泄露 。 

有 些 人 可 能 会 说 真实 的 漏洞 其 实 是 浏览 器 允许 攻击 者 对 受害 者 进行 高 级 别 的 控制 ， 这 可 
能 是 真 的 。 适 应 性 的 明文 攻击 在 明码 学 领域 是 一 个 大 问题 ， 但 是 我 们 有 TLS， 这 个 经 常 被 使 
用 在 某 些 超出 其 原始 设计 的 场景 中 的 协议 。 

所 有 基于 浏览 器 的 攻击 都 基于 这 样 一 个 事实 ， 那 就 是 攻击 者 可 以 在 真实 用 户 会 话 的 上 下 
文中 提交 请 求 ， 这 造成 了 攻击 者 提供 的 数据 连同 受害 者 的 数据 一 起 发 送 。 没 有 人 会 反对 说 这 
种 情况 很 正常 。 如 果 我 们 能 接受 一 个 随机 的 页 面向 任意 网 站 提交 数据 的 话 ， 那 至 少 应 当 保 证 
这 个 行为 发 生 在 独立 的 环境 中 (例如 水 盒 中 )。 

不 幸 的 是 ， 整 个 互联 网 是 以 一 种 混乱 纠缠 的 方式 进化 发 展 ， 也 就 是 说 强制 使 用 严格 的 分 
离 策 略 会 使 得 大 量 的 网 站 无 法 使 用 。 迷 早 ， 该 方案 可 能 会 以 选择 性 区 分 的 方式 来 提供 ， 这 允 
许 网 站 来 声明 自己 的 安全 空间 。 

对 于 隐藏 长 度 ， 即 使 这 种 方案 被 实现 了 ， 也 会 有 很 多 关于 其 有 效 性 的 质疑 。 这 种 方案 可 能 
不 会 在 所 有 场景 下 都 能 正常 工作 。 某 些 高 安全 级 别 的 网 站 通过 使 用 固定 长 度 的 方法 来 解决 此 问 
题 , 例如 使 用 底层 协议 提供 的 全 部 底层 带宽 。 然而 这 种 方案 显然 对 于 大 多 数 网 站 来 讲 过 于 昂贵 。 








7.3.2 ”攻击 的 历史 


压缩 旁 路 攻击 首先 由 John Kelsey 发 现 。 在 2002 年 发 表 的 一 篇 论文 中 ， 他 展示 了 一 系列 的 攻 
击 场景 , 每 种 场景 的 效果 均 不 同 。 这 其 中 就 有 对 敏感 数据 的 提取 ， 并 在 之 后 被 改进 成 了 在 浏览 
环境 中 执行 。2002 年 的 时 候 条 件 与 现在 区 别 很 大 ， 并 且 真 实 的 攻击 很 难 发 生 。 因 此 ，John Kelsey 


总 结 道 : 











字符 串 提取 攻击 对 于 很 多 系统 都 不 是 切实 会 发 生 的 , 因此 这 种 攻击 要 求 获得 部 分 选 
择 明 文 的 能 力 。 
压缩 旁 路 攻击 在 几 年 后 的 新 闻 中 出 现 ， 虽然 那 时 还 不 是 针对 TLS 协 议 。2007 年 ,一 组 研究 人 
员 率 先 开 发 出 了 在 加 密 网 络 电话 流量 中 识别 出 语音 的 算法 > ， 并 在 那 之 后 将 语音 短语 的 识别 成 功 
率 提 高 到 平均 50%， 对 于 某 些 特殊 的 短语 可 以 达到 90%。” 

在 之 后 的 几 年 内 ,浏览 需 持 续 进 化 ,导致 了 适应 性 选择 明文 攻击 成 为 可 能 ， 而 且 有 可 能 是 针 












































QD Compression and Information Leakage of Plaintext, http:/www.iacr.org/cryptodb/data/paper.php?pubkey=3091 ( John 
Kelsey，FSE，2002 年 )。 

© Language identification of encrypted VoIP traffic: Alejandra y Roberto or Alice and Bob, https:/www.cs.jhu.edu/% 
7Ecwright/voip-vbrpdf ( Wright 等 ，USENIX Security，2007 年 )。 

@@ Uncovering Spoken Phrases in Encrypted Voice over IP Conversations , http:/www.cs.unc.edu/%7Efabian/papers/ 
tissec2010.pdf ( Wright 等 ，4CM Transactions on Information and System Security， 第 13 卷 ， 编 号 4， 文章 35，2010 
年 12 月 )。 
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对 几乎 所 有 人 都 有 效 的 。 在 2011 年 , BEAST 攻 击 展示 了 攻击 者 如 何 控 制 受害 者 的 浏览 器 以 执行 对 
加 密 内 容 的 混合 攻击 。 

2011 年 8 月 , 由 压缩 旁 路 攻击 而 引发 的 隐私 问题 在 SPDY" 的 开发 邮件 列表 中 进行 讨论 。" 
上 ， 下 面 这 段 来 自 Adam Langley 的 摘录 描述 了 一 次 针对 浏览 带 的 1 o 


攻击 者 的 脚本 在 evil.com 上 运行 。 同时 , 受害 者 的 客户 端 打 开 了 一 个 到 victim.com 的 
压缩 连接 ,并且 用 户 已 经 登录 ， 且 带 有 一 个 登录 Cookie。evil.com 可 以 向 victim.com 发 起 
请 求 ,例如 在 页 面 中 加 一 个 cimg> 标 记 并 且 将 src 指 向 Vvictim.com*…… 攻击 者 可 以 对 流量 进 
行 观察 并 评估 发 送 的 请 求 的 大 小 。 通 过 调整 URL, 攻击 者 可 以 尝试 最 小 化 请 求 大 小 , 例 
如 当 URL 与 Cookie 值 匹配 的 时 候 。 

我 尝试 过 使 用 Hr 求 来 实施 上 述 步 骤 ， 并 发 现 非常 容 萄 就 可 以 获取 到 Base64 编 
码 的 Cookie 值 的 前 5 字 节 ……: 这 是 一 个 实际 攻击 并 可 以 基于 此 形成 一 篇 不 错 的 论文 ， 当 
然 前 提 是 有 人 有 时 间 来 写 。 





7.3.3 CRIME 


实际 的 压缩 旁 路 攻击 发 生 在 2012 年 ， 被 命名 为 CRIME 攻 击 ， 由 Duong 和 Rizzo 设 计 ， 他 
i 意 的 JavaScript 脚 本 来 实现 TLS 压 缩 旁 路 攻 
击 从 而 成 功 地 在 主动 中 间 人 攻击 中 提取 到 了 客户 端的 Cookie。 该 攻击 的 官方 披露 是 在 2012 年 9 月 
的 Ekoparty 大 会 上 进行 的 ，“ 但 是 由 于 早期 非 正式 的 新 闻 稿 "中 暴露 了 足够 多 的 信息 ， 安 全 专家 可 
以 成 功 地 猜测 到 攻击 的 真实 情况 %。 

之 后 ， 在 一 些 投机 分 子 的 合作 之 下 ， 概 念 验证 的 方案 被 公布 出 来 。“ 随 着 攻击 手段 汇 密 ， 进 
一 步 的 信息 以 及 一 段 演示 视频 在 会 议 开始 前 几 天 公开 。"”CRIME 的 发 现 者 一 直 没 有 公开 他 们 的 代 
码 ， 但 是 声称 他 们 可 以 仅 使 用 6 个 请 求 来 破解 Cookie 中 的 一 个 字符 。 

实现 CRIME 攻 击 的 原理 与 实现 BEAST 一 样 : 攻击 者 必须 能 够 操作 受害 者 的 浏览 器 来 向 目标 
服务 器 提交 大 量 的 请 求 ， 与 此 同时 观察 网 络 上 发 出 的 数据 包 。 每 次 请 求 都 将 是 一 次 猜测 ， 就 像 在 













































































G@ SPDY 是 一 个 相对 比较 新 的 协议 ， 由 Google 设 计 用 来 加 速 Web 浏 览 。 

©® Compression contexts and privacy considerations, en 
SIFtTKoJ ( Adam Langley，2011 年 8 月 11 日 )。 

@) The CRIME attack, http://metifera.com/research/crime/CRIME ekoparty2012.pdf ( Duong 和 Rizzo，Ekoparty Security 
Conference 9° edicion ， 2012 年 )。 

由 New Attack Uses SSL/TLS Information Leak to Hijack HTTPS Sessions, https://threatpost.com/new-attack-uses-ssltls- 
information-leak-hijack-https-sessions-090512/76973/ ( Threatpost，2012 年 9 月 5 日 )。 

© CRIME - How to beat the BEAST successor, http://security.stackexchange.com/questions/19911/crime-how-to-beat-the- 
beast-successor ( Thomas Pornin，2012 年 9 月 8 日 )。 

© Ifs not a crime to build a CRIME, https://gist.github.com/koto/3696912 ( Krzysztof Kotowicz，2012 年 9 月 11 日 )。 

© Crack in Internet’s foundation of trust allows HTTPS session hijacking, http://arstechnica.com/security/2012/09/crime- 
hijacks-https-sessions/ ( Ars Technica， 2012 年 9 月 13 日 )。 
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7.3.1 节 中 讨论 的 那样 。 与 BEAST 不 同 ，CRIME 对 于 请 求 的 内 容 和 时 机 没有 较 强 的 要 求 ， 这 使 得 
攻击 的 实施 将 更 加 简单 并 且 只 需要 使 用 浏览 器 的 本 地 功能 。 

1. TIME 

在 CRIME 公 开 之 后 ,很 快 就 出 现 了 其 他 的 改进 型 攻击 手段 。2013 年 3 月 ，Tal Be*ery 在 2013 年 
欧洲 黑 帽 子 大 会 上 演示 了 TIME 攻 击 。"CRIME 攻 击 最 大 的 限制 是 攻击 者 必须 能 访问 到 本 地 网 络 以 
便 对 数据 包 进 行 观察 。 虽 然 TIME 攻 击 依然 使 用 压缩 作为 原理 ， 但 是 它 将 JavaScript 脚 本 进行 了 扩 
展 , 使 用 VO 时 长 的 差异 来 判断 压缩 记录 的 大 小 。 该 方法 十 分 直截了当 ， 使 用 <img> 标 记 构 造 从 受 
害 者 浏览 器 发 出 的 请 求 并 使 用 onLoad 以 及 onReadyStateChange 事 件 来 评估 时 间 。 这 样 ， 整 个 攻击 
只 在 浏览 器 中 发 生 。 

通过 这 种 变化 , 攻击 现在 几乎 能 针对 互联 网 上 的 任何 人 展开 ,只 要 你 能 让 受害 者 运行 特定 的 
JavaScript 即 可 。 在 实际 中 ， 这 可 能 会 要 求 使 用 一 些 社会 工程 学 方法 。 

还 有 一 个 疑问 依然 存在 。CRIME 通 过 观察 压缩 输出 中 1 字 节 的 差异 来 实现 攻击 ， 如 果 使 用 
时 间 ， 是 否 真 的 能 区 分 到 如 此 小 的 差异 ? 事实 证 明 ， 这 是 可 行 的 ， 通 过 在 网 络 层 玩 一 个 小 把 戏 
来 实现 。 

在 TCP 协 议 中 ， 协 议 做 了 大 量 的 工作 来 避免 通信 的 男 外 一 段 被 发 送 大 量 的 数据 以 致 无 法 处 
理 。 这 么 做 的 原因 是 : 同样 通信 的 双方 在 地 理 距 离 上 很 远 。 例 如 ,一 个 数据 包 从 伦敦 到 纽约 需要 
45 上 毫秒 的 时 间 。 如 果 你 每 次 发 送 一 个 包 然 后 等 待 对 端的 确认 , 则 你 在 每 90 毫 秒 里 只 能 发 送 一 个 包 
的 数据 。 为 了 让 通信 速度 更 快 ，TCP 人 允许 通信 双方 每 次 发 送 多 个 数据 包 。 然 而 ， 为 了 确保 这 种 行 
为 不 会 导致 通信 的 某 端 负担 过 大 , 他 们 需要 使 用 一 个 实现 协商 好 的 限制 , 这 个 限制 叫 作 拥塞 窗口 
( 如 图 7-6 所 示 )。 拥 塞 窗口 在 开始 的 时 候 很 小 ， 之 后 随 着 时 间 来 增长 ， 这 种 方式 称 为 慢 启动 。 

初始 拥塞 窗口 的 大 小 区 别 很 大 。 老 的 TCP 协 议 栈 可 能 会 使 用 一 个 5 ~ 6 KB 的 较 小 窗口 ， 但 是 
最 新 的 流行 协议 栈 将 此 大 小 增加 到 了 15KB。TIME 攻 击 在 各 种 大 小 的 窗口 下 都 可 以 进行 。 在 下 面 
的 例子 中 ， 我 假设 客户 端 使 用 一 个 大 小 为 5 KB 的 初始 拥塞 窗口 (3 个 数据 包 )。 

在 连接 开始 的 时 候 , 如 果 你 要 发 出 的 数据 的 大 小 没有 超过 初始 的 拥塞 窗口 大 小 , 数据 将 一 次 
被 全 部 发 送 。 但 是 如 果 你 的 数据 很 大 ， 则 第 一 次 会 尽 可 能 多 地 发 送 数 据 ， 然 后 等 待 服务 髓 端的 确 
认 ， 之 后 再 发 送 剩 下 的 数据 。 这 样 会 增加 一 次 RTT (round-trip time， 往 返 时 间 )。 对 于 伦敦 -纽约 
链 路 来 说 , 这 将 是 一 个 90 毫 秒 的 额外 延迟 。 为 了 将 此 特征 作为 一 个 时 间 预 示 来 使 用 ,你 需要 增 大 
数据 的 大 小 直到 完全 填 满 初始 拥塞 窗口 。 如 果 再 增加 1 字 节 ， 请 求 就 会 导致 一 个 额外 的 RIT， 这 
种 延迟 可 以 从 JavaScript 中 判断 出 来 。 那 么 这 样 你 就 可 以 开始 利用 压缩 : 如 果 你 构造 的 数据 导致 压 
缩 的 大 小 减 小 了 1 字 节 ， 请 求 将 会 导致 较 短 的 RTT。 再 之 后 ， 攻 击 就 与 之 前 描述 的 一 样 了 。 









































































































































































































































DA Perfect CRIME? TIME Will Tell, https://media.blackhat.com/eu-13/briefings/Beery/bh-eu-13-a-perfect-crime-beery- 
wp.pdf ( Tal Be’ery 和 Amichai Shulman，2013 年 3 月 )。 
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73 
客户 端 
ns SYN 
2 SYN ACK ce 
0 客户 端 发 送 请 求 的 第 -部 [上 |--- ht 
分 ， 大 小 可 达到 初始 拥 府 | | -一 
窗口 的 大 小 Re A 
外 窜 户 详 等 待 确认 _ ; 
A ACK 
富 户 还 发 送 请 未 的 利和 部 王 上 一 
. 所 
__------- ACK 





服务 器 























图 7-6 ”使 用 TCP 初 始 拥塞 窗口 大 小 作为 时 间 预 示 





针对 HTTP 请 求 的 攻击 比较 容易 ， 因 为 你 可 以 直接 控制 发 送 的 内 容 。 这 人 允许 你 提取 到 浏览 器 
中 含有 的 机 密 数 据 ， 例 如 会 话 Cookie。 如 果 你 希望 针对 HTTP 响 应 展开 攻击 ,那么 将 会 更 加 困难 。 








户 端的 。 


得 向 你 镜像 一 些 你 发 送 给 它 的 数据 。 














这 使 得 判断 是 什么 导致 延迟 更 加 困难 。 


口 响应 压缩 是 在 服务 器 端 执行 的 ， 这 意味 着 你 需要 了 解 服务 器 的 初始 拥塞 窗口 ， 而 不 是 客 
口 你 必须 有 向 包含 有 机 密 数 据 的 页 面 注入 数据 的 能 力 。 在 实际 中 ， 这 表示 服务 器 应 用 程序 


口 在 对 响应 进行 时 间 评 估 的 时 候 ， 你 需要 面 对 服 务 器 和 客户 端 双方 可 能 造成 的 窗口 溢出 ， 


另外 一 方面 ， 不 像 TLS 压 缩 ，HTTP 层 的 响应 压缩 很 普遍 。 压 缩 旁 路 攻击 针对 两 种 情况 都 能 





奏效 。 


众所周知 ，TIME 攻 击 并 没有 在 概念 验证 之 外 的 领域 广泛 发 生 。 在 实际 中 ， 存 在 着 很 多 阻碍 








实施 实际 攻击 的 障碍 。 例 如 ，TIME 攻 击 的 发 现 者 提 到 ， 由 于 网 络 拌 动 的 原因 ， 他 们 不 得 不 重复 
发 送 多 次 相同 的 请 求 以 便 可 靠 地 找到 边界 值 。 除 此 之 外 , 拥塞 窗口 的 大 小 在 同一 个 连接 中 是 随 着 
时 间 不 断 增长 的 ,这 意味 着 你 需要 每 次 都 使 用 一 个 新 连接 来 对 时 间 进 行 评估 。 然 而 ,大 部 分 服务 
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器 会 使 用 连接 保持 的 功能 来 解决 性 能 问题 ,并 且 你 没 办 法 通过 JavaScript 来 控制 与 服务 器 之 间 的 连 




















接 。 因 此 ,攻击 可 能 会 变 得 十 分 缓慢 : 发 起 一 个 连接 ， 然 后 等 待 浏 览 器 与 服务 器 断 开 连接 ， 然 后 
不 断 重 复 这 个 行为 。 总 之 ， 即 使 提取 16 字 节 的 数据 ， 也 需要 花费 很 长 时 间 。 
2. BREACH 
另外 一 个 针对 HTTP 响 应 的 压缩 旁 路 攻击 叫 作 BREACH， 是 在 2013 年 8 月 发 现 的 。?BREACH 
的 作者 希望 能 为 大 众 演示 CRIME 攻 击 对 于 HTTP 响 应 也 同样 有 效 。 他 们 利用 了 同样 的 攻击 手段 ( 一 


个 主动 中 间 人 3 
开发 了 实际 的 演示 。 例 如 ， 






































改 击 )， 并 且 开 发 出 了 真正 起 作用 的 攻击 。 他 们 最 大 的 贡献 在 于 对 威胁 的 分 析 以 及 
他 们 使 用 这 种 攻击 手段 攻击 了 Outlook Web Access (OWA ), 展示 了 他 


们 可 以 获取 到 95% 正 确 度 的 CSRF 令 牌 ， 并 在 30 秒 内 完成 攻击 。? 


BREACH 的 作者 将 他 








3. 攻击 细节 

BREACH 从 概念 上 就 与 CRIME 不 同 ， 它 要 求 攻击 者 可 以 访问 受害 者 的 网 络 并 可 以 在 受害 者 
的 浏览 器 中 运行 JavaScript。 它 们 的 攻击 面 有 所 不 同 。HTTP 响 应 压缩 只 针对 响应 正文 ， 这 意味 着 
响应 头 中 的 信息 无 法 被 破解 。 不 过 ， 响 应 正文 中 通常 也 存在 有 价值 的 敏感 数据 。 作 者 们 把 精力 集 
中 在 破解 CSRF 令 牌 上 (方法 在 下 面 介绍 )， 这 样 就 可 以 伪造 受害 者 的 身份 。 

为 了 展开 攻击 ， 攻 击 者 需要 在 响应 正文 中 找到 一 个 注入 点 。 在 OWA 的 场景 下 ， 请 求 中 的 id 














门 的 成 果 发 表 在 了 一 个 网 站 上 ”， 相 关 的 概念 验证 代码 位 于 GitHub 。 














向 应 正文 携带 回来 。 因 此 ， 如 果 攻 击 者 提交 了 如 下 带 有 攻击 负载 的 请 求 : 


GET /owa/?ae=Item&t=IPM.Note&a=New&id=INJECTED-VALUE 
响应 正文 将 会 包含 注入 的 值 : 


<Span id=requestUrl>h 


ttps://malbot.net:443/owa/forms/ 


basic/BasicEditMessage.aspx?ae=Item&amp;t=IPM.Note& 
amp;a=New&amp; id=INJECTED-VALUE</span> 


这 已 经 足够 用 来 破解 响应 正文 中 的 任何 加 密 数 据 了 。 例 如 ， 对 于 一 个 CSRF 令 牌 来 说 : 


<td nowrap id= "tdETYTLgf"><a href="logoff.owa? 
canary=d634cda866f14c73ac135ae858c0d894">Log 
Off</a></td> 


为 了 建立 基准 ， 攻 击 者 需要 首先 提交 canary= 作 为 攻击 负载 。 因 为 内 容重 复 ， 所 以 压缩 后 的 











响应 正文 会 变 小 ， 这 可 以 通过 观察 网 络 数据 获知 。 之 后 就 与 CRIME 的 步骤 一 致 了 。 





互联 网 上 大 部 分 压缩 是 DEFLATE 





虽然 攻击 在 一 开始 的 时 候 看 起 来 比较 简单 ， 但 是 实际 中 还 有 以 下 几 个 问题 需要 处 理 。 
口 霍 夫 曼 编 码 











E 缩 ， 实 际 上 是 两 个 算法 的 组 合 : LZ77 和 霍 夫 曼 编码 。 

















人 BREACH: Reviving the CRIME Attack, http://breachattack.com/resources/BREACH%20-%20SSL,%20gone%20in% 
2030%20seconds.pdf ( Gluck 等 ，2013 年 8 月 )。 


@ 作者 在 2013 年 的 美国 黑 帽 子 大 会 上 演示 的 BREACH 攻 击 ， 














G@) BREACH web site，http://breachattack.com/( 检索 于 2014 稀 
(@) BREACH repository, https://github.com/nealharris/BREACH ( Neal Harris， 检索 于 2014 年 7 月 16 日 )。 

















是 在 名 为 SSL, Gone in 30 seconds 的 会 议 上 进行 演示 的 。 
F7 月 16 日 )。 
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前 者 被 我 们 利用 来 进行 攻击 ， 但 是 后 者 则 使 得 攻击 变 得 更 加 困难 。 堆 夫 曼 编 码 是 一 种 变 
长 编码 ， 基 于 现实 中 某 些 字符 出 现 的 频率 更 高 的 事实 。 正 常 来 讲 ， 我 们 使 用 1 字 节 来 表示 
一 个 字符 。 为 了 节省 空间 ， 我 们 可 以 将 频繁 出 现 的 字符 使 用 更 短 的 方式 表示 〈 几 位 而 不 
是 1 字 节 )， 然 后 对 不 经 常 出 现 的 字符 使 用 更 长 的 表示 方法 。 
霍 夫 曼 编码 会 扰乱 正确 和 不 正确 的 猜测 结果 的 长 度 。 为 了 处 理 这 个 问题 ， 必 要 的 方法 是 
增 大 请 求 数量 为 两 倍 ， 每 次 猜测 使 用 两 个 请 求 。 
口 分 组 加 密 
概念 攻击 针对 加 密 是 行 之 有 效 的 ， 但 是 只 限于 流 加 密 ， 因 为 数据 长 度 是 直接 反映 到 密 文 
中 的 。 当 使 用 的 是 分 组 加 密 的 时 候 ， 密 文 的 大 小 是 以 整个 分 组 进行 增长 的 ， 例 如 在 128 位 
的 AES 算 法 中 , 每 次 增长 16 字 节 。 在 这 种 情况 下 , 会 产生 数据 填充 以 满足 分 组 大 小 。 因此 ， 
需要 多 个 请 求 。 一 旦 你 发 现 了 填充 的 大 小 ， 就 可 以 开始 进行 猜测 。 对 于 每 次 猜测 ， 删 除 
填充 的 1 字 节 。 

口 响应 内 容 多 样 性 

对 于 针对 HTTP 响 应 的 攻击 来 说 (TIME 和 BREACH ), 诸如 文本 格式 、 代 码 实践 以 及 编码 
等 多 样 性 问题 使 得 攻击 更 加 困难 。 例 如 ， 攻 击 要 求 一 个 已 知 的 前 缀 来 实施 攻击 ,但 是 有 
时 候 加 密 数 据 的 前 级 不 可 注入 (例如 引号 )。 抑 或 响应 数据 的 长 度 可 能 发 生变 化 ， 使 得 攻 
击 更 加 困难 。 

CRIME 攻 击 的 作者 使 用 了 一 种 有 趣 的 技术 变种 来 实施 针对 TLS 压 缩 的 攻击 。TLS 记 录 大 小 被 
限制 在 16KB (16384 字 节 )， 这 意味 着 压缩 可 以 处 理 的 最 大 数据 长 度 。 之 所 以 说 这 个 有 趣 ， 是 因 
为 攻击 者 可 以 完全 控制 最 开始 的 16 KB 的 数据 。 具 体 如 下 所 示 。 

(1) 对 于 GET 请 求 ， 最 开始 的 5$ 字 节 都 是 一 样 的 : 请 求 的 方法 (GET )、 一 个 空格 以 及 URL 的 第 
一 个 字符 (/)。 如 果 你 在 URL 之 后 增加 了 16 379 字 节 的 随机 数据 ， 就 可 以 填 满 整个 TLS 记 录 。 你 
可 以 提交 这 个 请 求 并 观察 压缩 的 大 小 。 

(2) 你 现在 可 以 开始 减 小 URL 中 的 随机 数据 的 数量 ,每 次 减 小 1 字 节 。 有 些 字 节 是 可 以 预测 的 
(例如 ，HTTP/1.1 )， 但 是 在 某 个 位 置 上 你 总 会 遇 到 第 一 个 未 知 的 字符 。 

(3) 现在 你 有 了 16 383 字 节 大 小 的 已 知 数据 和 1 字 节 的 未 知 数据 。 你 应 该 将 其 作为 一 个 请 求 提 
交 。 然 后 , 在 不 提交 其 他 任何 请 求 的 情况 下 , 你 需要 建立 一 个 候选 字符 的 列表 , 模拟 最 初 的 16 KB 
数据 并 试 着 用 相同 的 压缩 算法 对 其 进行 压缩 ， 然 后 将 压缩 之 后 的 大 小 与 真实 请 求 的 大 小 相 比 较 。 
在 理想 的 情况 下 ， 只 会 有 一 个 匹配 ， 这 样 就 知道 了 未 知 字 节 。 

这 个 方法 很 巧妙 , 因为 它 不 需要 使 用 太 多 的 请 求 。 从 另外 一 个 方面 讲 , 攻击 者 使 用 的 压缩 库 ， 
需要 能 够 对 相同 的 输入 产生 相同 的 输出 。 在 实际 上 , 不 同 的 压缩 设置 和 不 同 版 本 的 库 可 能 会 带 来 
变化 。 

4. 对 TLS 压 缩 和 SPDY 的 影响 

在 本 节 中 ， 我 将 讨论 一 下 针对 TLS 压 缩 或 者 SPDY 进 行 压 缩 旁 路 攻击 的 一 些 必 要 前 提 条 件 。 
在 这 两 种 情况 下 ， 攻 击 都 是 针对 请 求 头 展开 的 ， 这 就 使 得 会 话 Cookie 成 为 了 最 大 攻击 目标 。 
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口 主动 中 间 人 攻击 

CRIME 要 求 攻击 者 可 以 访问 受害 者 的 本 地 网 络 。 因 此 这 是 一 个 基于 本 地 网 络 的 攻击 ， 也 
就 是 说 在 同一 个 局 域 网 或 者 同一 个 Wi-Fi 环 境 下 ， 攻 击 将 会 更 加 容易 展开 。 攻 击 可 以 是 被 
动 的 或 者 主动 的 ， 后 者 会 给 攻击 者 带 来 额外 的 灵活 性 。 

客户 端 控制 

攻击 者 还 需要 对 受害 者 的 浏览 器 有 足够 的 控制 以 便 疝 目标 网 站 发 出 任意 请 求 。 你 可 以 通 
过 使 用 恶意 JavaScript 脚 本 来 完成 这 个 工作 ， 但 是 更 加 简单 的 方法 是 使 用 一 些 含 有 精心 构 
造 的 URL 的 <img> 标 记 。 
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这 可 以 通过 社会 工程 学 的 手段 达成 ， 当 然 ， 更 加 普遍 的 方法 是 向 受害 者 在 被 攻击 的 时 候 
会 访问 的 明文 网 站 注入 HTML 代码 。 
口 存在 威胁 的 协议 


就 像 CRIME 的 作者 说 的 那样 ， 压 缩 无 处 不 在 。 他 们 详细 说 明了 针对 TLS 压 缩 以 及 SPDY 的 
攻击 细节 。 在 细节 公布 的 时 候 ， 我 正巧 可 以 使 用 SSL Pulse 的 统计 数据 以 及 部 分 SSL Labs 
网 站 的 统计 数据 来 评估 在 服务 器 端 和 客户 端的 压缩 支持 情况 。 对 于 TLS 协 议 ，SSL Pulse 
的 数据 指出 大 约 有 42% 的 服务 器 支持 压缩 。 虽然 只 有 2% 的 服务 器 支持 SPDY, 但 是 这 些 都 
是 一 些 大 型 网 站 ( 例如 Google 和 Twitter )。 
这 说 明了 ， 只 有 在 两 边 都 需要 支持 压缩 的 情况 下 ， 攻 击 才 能 发 生 。 这 说 明了 实际 情况 还 没 
这 人 么 糟糕 ， 因 为 对 于 浏览 器 厂商 来 说 ， 实 现 TLS 压 缩 的 优先 级 一 向 不 高 "。Chrome 是 当时 唯 
一 支持 TLS 压 缩 的 浏览 器 。Firefox 已 经 实现 过 压缩 , 但 是 据 我 所 知 ， 相 关 代 码 从 来 没有 包含 
到 正式 版 本 中 。 两 家 浏览 器 厂商 都 了 解 到 了 CRIME 攻 击 ， 因 此 他 们 都 默认 关闭 掉 了 对 TLS 
压缩 的 支持 。 基 于 访问 SSL Labs 网 站 的 数据 ， 我 得 出 的 结论 是 大 概 7% 的 客户 端 支持 压缩 。 
作为 对 CRIME 攻 击 的 回应 , 大 多 数 厂商 对 他 们 的 产品 和 库 进 行 了 修复 以 关闭 TLS 压 缩 功 能 。 
口 准备 
此 攻击 不 是 随意 针对 任何 网 站 都 可 以 展开 的 。 例 如 ， 为 了 开始 攻击 ， 必 须 使 用 一 个 已 知 
的 URL 前 缀 作为 攻击 的 开始 点 。 因 为 这 些 信息 在 不 同 网 站 之 间 区 别 很 大 ， 所 以 一 些 事先 
的 研究 是 必要 的 ， 不 过 进行 这 些 研 究 的 工作 量 也 不 是 特别 大 。 
口 结论 
最 好 的 情况 是 ， 攻 击 者 可 以 获取 到 HTTP 基 本 身份 验证 的 密码 。 在 实际 中 ， 这 种 身份 验证 
方法 不 是 很 常用 ， 这 使 得 会 话 Cookie 变 成 了 更 主要 的 攻击 目标 。 因 此 如 果 攻 击 成 功 之 后 ， 
攻击 者 就 可 以 使 用 受害 者 的 身份 获取 一 切 相 关 信息 。 
5. 对 HTTP 响 应 压缩 的 影响 
对 于 HTTP 压 缩 ， 旁 路 压缩 攻击 的 影响 区 别 很 大 : (1) 攻击 面 很 大 并 且 很 难 减 小 ; (2) 完成 攻 
击 要 做 大 量 的 准备 ， 但 是 收效 较 小 。 
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关注 性 能 的 网 站 会 一 直 打开 HTTP 响 应 压缩 ， 这 扩大 了 带宽 。 尝 试 对 已 经 压缩 过 的 流量 再 次 进行 压缩 只 会 无 谓 地 消 
耗 CPU 和 内 存 。 将 压缩 完全 移动 到 TLS 层 是 可 行 的 ， 但 是 这 样 会 对 图 片 进行 压缩 ， 而 一 般 这 样 的 压缩 效果 都 不 好 。 
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展开 针对 HTTP 压 缩 的 攻击 的 先决 条 件 与 之 前 的 场景 一 样 ， 攻 击 者 必须 要 能 够 对 网 络 通信 进 
行 控制 并 且 可 以 对 受害 者 浏览 器 进行 有 限度 的 控制 。 当 涉及 其 他 因素 时 ， 会 存在 一 些 差别 。 
口 攻击 面 
HTTP 压 缩 同 样 会 遭受 到 压缩 旁 路 攻击 的 威胁 (CRIME 的 作者 们 没有 花 太 多 时 间 研 究 这 
个 , 但 是 其 他 人 展开 过 较 多 研究 )。 不 像 TLS 压 缩 ，HTTP 压 缩 提 供 了 一 个 巨大 的 攻击 面 并 
且 没 法 简单 地 关闭 。 很 多 网 站 严重 依赖 于 此 特性 以 至 于 没 办 法 在 没有 压缩 的 情况 下 运营 。 
这 里 还 有 一 个 额外 的 要 求 就 是 攻击 者 需要 可 以 向 HITP 响 应 中 注入 任意 数据 。 这 一 般 也 是 
可 以 实现 的 。 
口 准备 
从 另外 一 方面 来 说 ， 为 了 施展 HTTP 压 缩 攻击 ， 还 需要 很 多 工作 。 实 际 上 ， 可 以 这 么 说 ， 
对 目标 网 站 有 着 深入 的 了 解 是 必需 的 。 会 话 Cookie 一 般 不 在 HTTP 的 响应 正文 中 出 现 ， 这 
意味 着 攻击 者 必须 寻找 其 他 有 价值 的 加 密 信息 。 寻 找到 这 种 信息 可 能 会 比较 难 。 
口 结论 
攻击 的 结论 将 会 依赖 于 加 密 信息 的 性 质 。 如 果 攻 击 者 知道 加 密 数据 的 位 置 ， 那 么 他 就 可 
以 破解 这 个 数据 。 对 于 大 部 分 应 用 来 说 ， 攻 击 者 感 兴趣 的 目标 将 会 是 CSRF 令 牌 。 如 果 类 
似 这 样 的 令 牌 被 破解 ， 攻 击 者 就 可 以 使 用 受害 者 的 身份 在 目标 网 站 上 执行 任意 命令 。 有 
一 些 网 站 使 用 会 话 Cookie 作 为 CSRF 令 牌 ， 这 样 会 话 就 会 被 成 功 劫持 。 


7.3.4 针对 TLS 和 SPDY 攻击 的 缓解 方法 


没 人 再 会 使 用 TLS 压 缩 ，CRIME 终 结 了 它 。 在 CRIME 正 式 披 露 之 前 , 用 户 中 的 一 大 部 分 (所 
有 Chrome 的 用 户 ) 都 支持 压缩 ，Chrome 在 2012 年 9 月 时 的 市 场 份额 很 难 精确 确定 ， 我 们 假设 为 
30%。 “归功 于 Chrome 的 自动 升级 功能 ，Chrome 支 持 压缩 的 功能 很 快 就 被 关闭 了 。 

OpenSSL 曾 经 支持 压缩 ,因此 依然 可 能 找到 旧 安 装 以 及 仍 支持 压缩 的 用 户 代 理 , 但 是 它们 都 
不 太 容 易 遭 受 攻击 ， 因 为 这 些 都 不 是 浏览 器 〈 也 就 是 说 ， 不 太 可 能 进行 恶意 软件 注入 )。 

但 在 服务 器 端 还 依然 残留 着 对 压缩 的 支持 。 在 大 部 分 情况 下 , 仅仅 对 服务 器 打 补 丁 就 可 以 实 
现 。 在 撰写 本 书 的 时 候 (2014 年 7 月 )， 大 概 10% 的 服务 器 还 在 支持 压缩 。 基 于 Microsoft 的 TLS 库 
从 来 没 支 持 过 压缩 ， 并 且 Nginx 在 很 久之 前 就 禁用 了 对 压缩 的 支持 ， 那 么 大 部 分 支持 压缩 的 服务 
俐 应 该 都 是 老 旧 版 本 的 Apache。 

TLS 层 面 的 压缩 目前 来 看 不 太 可 能 重出 江湖 。 就 像 我 之 前 说 的 那样 ， 人 们 并 不 真正 需要 这 个 
功能 ( 如 果 他 们 使 用 了 这 个 功能 , 那 基 本 是 因为 默认 启用 了 )。 即 使 没有 压缩 作为 一 个 预示 , TLS 
的 记录 长 度 也 不 是 一 个 好 的 特性 。 目 前 人 们 正在 致力 于 实现 长 度 隐 藏 的 协议 扩展 。? 


































































































































































































QD Usage share of web browsers, https://en.wikipedia.org/wiki/Usage_share_of web_browsers ( 维基 百科 ， 检 索 于 2014 

年 2 月 20 日 )。 

© Length Hiding Padding for the Transport Layer Security Protocol, https://datatracker.ietf.org/doc/draft-pironti-tls-length- 
hiding/ ( Pironti 等 ，2013 年 9 月 )。 
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对 于 SPDY， 标 头 压缩 在 Chrome 和 Firefox 中 已 禁用 。 现 在 既然 已 经 知道 问题 ， 我 们 可 以 认为 
此 协议 的 后 续 版 本 不 会 再 有 问题 。 


7.3.5 针对 HTTP 压缩 攻击 的 缓解 方法 


处 理 HITP 中 的 压缩 旁 路 攻击 比较 困难 ， 即 使 攻击 不 是 那么 容易 展开 。 困 难 是 双重 的 : (1) 你 
有 可 能 无 法 禁用 压缩 ; (2) 解决 方法 要 求 应 用 程序 作出 调整 ， 开 销 很 大 。 不 过 有 一 些 方法 依然 有 
较 好 的 效果 。 下 面 是 这 些 可 能 性 的 快速 概览 。 
口 请 求 频 率 控 制 
TIME 和 BREACH 的 作者 都 提 到 了 在 某 些 情况 下 由 于 发 送 了 过 eh a 
( BREACH 的 作者 向 OWA 发 送 了 数 千 个 请 求 )。 基 于 用 户 会 话 ， 强 制 一 个 合理 的 用 户 请 求 
频率 可 能 会 检测 出 类 似 的 攻击 ， 在 最 坏 的 情况 下 ， 和 可 以 站 而 失 和 作 、 这 种 解决 方 
法 可 以 在 Web 服 务 器 、 负 载 均 衡器 或 者 是 WAF 层 面 实施 ， 这 意味 着 实现 的 成 本 不 是 很 大 。 
口 长 度 隐 藏 
一 种 可 能 的 防御 办 法 是 隐藏 响应 的 真实 长 度 。 例 如 ， 我 们 可 以 增加 一 个 响应 体 过 滤器 来 
分 析 HTML 代 码 并 插入 随机 的 填充 字 节 。 空格 在 HTML 中 基本 都 是 被 忽略 掉 的 ， 这 可 以 使 
得 攻击 者 的 攻击 变 得 更 加 困难 。 根 据 BREACH 作 者 们 的 说 法 ， 随 机 填充 可 以 通过 对 请 求 
数量 的 显著 变 大 进行 统计 分 析 而 被 破解 掉 。 
这 种 方法 的 部 署 ， 在 Web 服 务 器 层面 非常 合适 ， 这 就 不 需要 修改 后 端的 应 用 。 例 如 ，Paul 
Querna 提 议 使 用 块 编码 响应 变化 的 方式 来 隐藏 响应 长 度 。 这 个 方法 完全 不 改变 页 面 代码 ， 
但 是 却 改 变 了 数据 长 度 。 
口 令 牌 掩 码 
针对 CSRF 的 窍 取 可 以 通过 混淆 的 方法 来 解决 : (1) 对 于 令 牌 串 中 的 每 个 字符 , 都 准备 一 个 
随机 字 节 ; (2) 将 随机 字 节 与 对 应 的 令 牌 字 节 进行 异 或 ; G) 将 全 部 随机 数据 也 包括 到 输出 
中 。 这 个 过 程 是 可 逆 的 ， 在 服务 器 端 重复 进行 响应 异 或 操作 ， 就 可 以 得 到 原始 的 令 牌 字 
符 串 。 这 个 方法 适合 在 框架 层面 实施 。 
口 部 分 压缩 禁用 
当 我 第 一 次 思考 针对 HTTP 响 应 正文 的 攻击 时 ， 我 想到 的 是 引用 网 站 头 将 绝对 不 会 包含 目 
标 网 站 的 名 称 (如果 攻击 者 能 实现 这 一 步 , 说 明 他 已 经 通过 XSS 对 网 站 有 了 充足 的 控制 )。 
最 开始 我 提议 删除 掉 Cookie, 没有 Cookie 就 没有 用 户 的 会 话 信息 ,也 就 没有 攻击 面 了 。 然 
后 社区 中 的 人 提出 了 更 好 的 办 法 : 对 于 带 有 错误 引用 网 站 信 ， 息 的 请 求 ， 关 闭 响应 压缩 妈 
可 。” 这样 的 话 ， 代 价 就 是 对 于 小 部 分 无 法 携带 正确 引用 网 站 信息 的 用 户 ， 在 性 能 上 有 所 
减退 。 更 重要 的 是 ， 这 不 会 有 任何 对 业务 的 破坏 ， 这 与 删除 掉 Cookie 的 方法 是 不 同 的 。 






































































































































































































































QD breach attack ， http://mail-archives.apache.org/mod mbox/httpd-dev/201308.mbox/%3CCAMDeyhwCYYQMK+WTf 
vge7y20Aq EB1=kqMHgqKYhr3kBWkZyYzA@mail.gmail.com%3E ( Paul Querna，2013 年 8 月 6 日 )。 
© BREACH mitigation ，https:/community.qualys.com/message/20404 ( manu，2013 年 10 月 14 日 )。 
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7.4 Lucky 13 


2013 年 2 月 ，AlIFardan 和 Paterson 公 布 了 一 篇 描述 多 种 攻击 细节 的 论文 ， 这 些 攻击 可 以 被 用 来 
破解 小 块 的 用 CBC 套 价 加 密 的 数据 。 "他 们 的 成 果 被 称 为 Lucky 13 攻 击 。 像 BEAST 和 CRIME 攻 击 
一 样 ， 在 Web 领 域 ， 小 块 明 文 数 据 几 乎 永远 指 的 是 浏览 器 Cookie 或 者 HTTP 的 基本 身份 验证 数据 。 
除了 HTTP， 其 他 使 用 密码 进行 身份 验证 的 网 络 协议 也 可 能 受到 此 威胁 。 

引发 问题 的 根本 原因 是 填充 ， 填 充 经 常 在 CBC 模 式 中 使 用 , 但 却 没有 被 TLS 的 完整 性 检查 机 
制 所 保护 。 这 就 让 攻击 者 有 机 会 修改 填充 字 节 并 观察 服务 器 作出 的 反应 。 如 果 攻 击 者 可 以 成 功 地 
观察 到 服务 器 对 修改 填充 后 的 反应 ， 这 就 说 明 必要 的 信息 已 经 泄露 并 且 可 以 开始 进行 破解 了 。 

这 是 我 们 最 近 几 年 见 到 的 较 好 的 TLS 攻 击 之 一 。 使 用 注入 到 受害 者 浏览 器 中 的 恶意 
JavaScript 脚 本 ， 攻 击 者 需要 8192 次 请 求 就 可 以 破解 1 字 节 的 明文 数据 ( 例如 ，Cookie 或 者 密码 
中 的 1 字 节 )。 


7.4.1 什么 是 填充 预示 


有 一 类 攻击 可 以 用 来 针对 接收 方 展开 , 如 果 填 充 信 息 是 可 以 修改 的 话 。 如 果 加 密 方法 对 密 文 
进行 身份 验证 的 话 ， 这 就 有 可 能 发 生 ， 例 如 TLS 中 的 CBC 模 式 就 不 进行 身份 验证 。 攻 击 者 不 能 直 
接 修 改 填充 数据 ， 因 为 它们 是 经 过 加 密 的 。 但 是 因为 攻击 者 可 以 对 加 密 后 的 数据 进行 任意 修改 ， 
这 就 让 他 可 以 对 填充 数据 进行 猜测 。 我 们 说 一 个 预示 存在 , 是 指 攻击 者 可 以 区 分 出 哪些 修改 可 以 
在 解密 后 被 当 作 正 常 的 填充 而 哪些 修改 不 能 。 

但 是 你 如 何 继续 进行 破解 呢 ? 考虑 了 所 有 的 情况 后 , 加 密 本 质 上 是 使 用 看 起 来 随机 的 数据 来 
隐藏 ( 掩 码 ) 明文 。 如 果 攻 击 者 可 以 获取 到 掩 码 ” ， 那 他 就 可 以 有 效 地 反 转 加 密 的 过 程 并 恢复 出 
明文 。 

回 到 填充 预示 的 话题 ， 每 次 攻击 者 提交 一 次 猜测 密 文 ,并 产生 了 正确 的 填充 字 节 ,她 便 找 到 
了 掩 码 的 1 字 节 。 这 样 就 可 以 使 用 这 一 字 节 来 推导 出 1 字 节 的 明文 。 然 后 ， 她 可 以 重复 上 述 行为 ， 
直到 所 有 的 密 文 被 破解 。 
填充 预示 攻击 能 够 成 功 执 行 依赖 于 : (1) 提交 很 多 次 猜测 请 求 ; (2) 存在 某 个 可 以 判断 猜测 是 
和 否 正确 的 方法 。 某 些 设计 得 不 好 的 协议 可 能 不 会 隐藏 掉 填 充 字 节 有 错 的 信息 。 也 就 是 说 , 攻击 者 
需要 能 够 通过 观察 服务 器 的 响应 来 推断 出 猜测 结果 。 例 如, 可 以 通过 观察 响应 延迟 的 差异 来 判断 
填充 字 节 是 否 正确 。 

如 果 你 希望 了 解 关 于 填充 预示 攻击 的 更 多 细节 ， 可 以 参考 一 下 某 些 在 线 教 程 或 者 通过 一 个 








































































































































































































QD Lucky Thirteen: Breaking the TLS and DTLS Record Protocols http://www.isg.rhul.ac.uk/tls/Lucky13.html ( AlFardan 

和 Paterson，2013 年 2 月 4 日 )。 

@) 在 CBC 模 式 下 ， 这 里 指 的 是 异 或 IV 之 后 得 到 的 中 间 值 。 一 一 译 者 注 

@) Automated Padding Oracle Attacks with PadBuster, http://blog.gdssecurity.com/labs/2010/9/14/automated-padding- 
oracle-attacks-with-padbusterhtml ( Brian Holyfield，2010 年 9 月 14 日 )。 
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在 线 模拟 的 页 面 "来 得 到 更 直观 的 认识 。 
丰 充 预示 攻击 问题 的 最 佳 解决 方法 是 在 处 理 数据 之 前 进行 完整 性 校 验 。 这 种 检查 可 以 防止 密 
文 被 修改 并 能 够 预防 填充 预示 攻击 。 


7.4.2 ”针对 TLS 的 攻击 


真 充 预 示 攻 击 (针对 TLS 和 其 他 协议 ) 最 早 由 Serge Vaudenay 在 2001 年 提出 (正式 发 布 是 在 
2002 年 ) ”。TLS 1.0 使 用 decryption failed 和 警告 来 指明 填充 错误 并 使 用 bad record_mac 来 指示 
MAC 错 误 。 这 种 设计 虽然 不 安全 , 但 是 的 确 没有 导致 在 现实 生活 中 发 生 攻 击 , 因为 TLS 的 警告 是 
加 密 的 ， 所 以 网 络 攻击 者 无 法 区 分 这 两 种 类 型 的 错误 。 

2003 年 ，Canvel 等 对 攻击 进行 了 改进 。 ”他 们 使 用 了 一 种 基于 时 间 的 填充 预测 ， 并 演示 了 一 
次 成 功 的 针对 OpenSSL 的 攻击 。 他 们 利用 了 当 填 充 字 节 不 正确 时 OpenSSL 会 跳 过 MAC 计 算 并 使 响 
应 变 快 的 特点 。 作 者 们 的 概念 验证 攻击 是 针对 一 个 IMAP 服 务 器 的 ， 在 距离 攻击 目标 很 近 的 情况 
下 ， 他 们 可 以 在 一 小 时 内 获取 IMAP 的 密码 。 
真 充 预示 之 所 以 起 作用 , 是 基于 重复 猜测 并 确定 哪些 字 节 组 合 可 以 被 解密 成 正确 的 填充 字 节 
来 实现 的 。 攻 击 者 首先 截获 一 些 密 文 ， 将 其 修改 后 提交 到 服务 器 。 大 部 分 的 猜测 都 将 是 错误 的 。 
在 TLS 中 ， 每 次 猜测 失败 都 会 导致 TLS 会 话 断 开 ， 这 意味 着 之 前 的 加 密 数 据 无 法 继续 使 用 。 在 下 
一 次 猜测 的 时 候 ， 攻 击 者 需要 截获 另外 一 个 合法 的 加 密 块 。 这 也 是 Canvel 等 人 攻击 了 IMAP 的 原 
因 ， 因 为 IMAP 是 一 个 自动 化 服务 ， 可 以 在 出 错 之 后 自动 重 试 ， 这 对 于 展开 攻击 非常 理想 。 

为 了 提高 CBC 模 式 的 安全 性 ，OpenSSL ( 和 其 他 TLS 实 现 ) 修改 了 它们 的 代码 以 减少 信息 泄 
露 。"TLS 1.1 废 弃 了 decryption failed 警 告 并 增加 了 以 下 说 明 。 

Canvel 等 实现 了 一 种 针对 CBC 填 充 字 节 的 时 间 攻 击 ,这 种 攻击 依赖 于 计算 MAC 的 时 

间 。 为 了 防御 这 种 类 型 的 攻击 ， 实 现 必须 确保 记录 处 理 时 间 是 基本 上 相同 的 ,无 论 填充 

字 节 正确 与 否 。 总 体 来 说 ， 最 好 的 解决 方法 是 即使 在 填充 字 节 不 正确 的 情况 下 也 计算 

MAC 然 后 拒绝 掉 这 个 包 。 例如 ， 如 果 填 充 字 节 不 正确 ， 实 现 可 以 假设 一 个 长 度 为 0 的 填 

充 然后 计算 MAC。 这 也 会 留 下 一 个 小 的 时 间 通 路 ， 因 为 计算 MAC 的 时 间 某 种 程度 上 与 

数据 的 长 度 有 关 ， 但 是 这 种 差异 一 般 认 为 不 会 足够 大 到 被 利用 来 进行 攻击 ， 这 是 因为 与 

MAC 数 据 的 大 小 相 比 ， 时 间 差 异 太 小 了 。 

2013 年 ?月 ，AlIFardan 和 Paterson 演 示 了 残留 的 旁 路 空 险 ， 实 际 上 也 是 能 用 来 进行 攻击 的 ， 这 是 
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GD Padding oracle attack simulation，http://erlend.oftedal.no/blog/poet/( Erlend Oftedal ， 检 索 于 2014 年 2 月 28 日 )。 

© Security Flaws Induced by CBC Padding-Applications to SSL, IPSEC, WTL..., https:/www.iacr.org/archive/eurocrypt2002/ 
23320530/cbc02_e02d.pdf ( Serge Vaudenay， 第 534~546 页 ，EUROCRYPT 2002 )。 

@@ Password Interception in a SSL/TLS Channel, http:/www.iacr.org/cryptodb/archive/2003/CRYPTO/1069/1069.pdf 
(Canvel 等 ，CRYPTO 2003 )。 

由 Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures https:/www.openssl.org/%7Ebodo/tls-cbc.txt 
(Moeller 等 ， 最 后 更 新 于 2004 年 5 月 20 日 )。 




















7.4 Lucky 13 191 





使 用 了 新 的 技术 来 发 现 Vaudenay 的 填充 预示 。 他 们 将 其 命名 为 Lucky 13 并 且 展 示 出 CBC( 就 像 在 TLS 
和 DTLS 中 实现 的 那样 ) 过 于 脆弱 以 致 于 在 很 久之 前 就 应 当 被 废弃 掉 。 他 们 同时 说 明了 一 个 道理 ， 
一 些小 的 问题 ， 如 果 没 有 引起 足够 的 重视 ， 其 危害 随 着 技术 的 不 断 进化 ， 会 变 得 更 加 巨大 。 














7.4.3 ”影响 


为 了 能 够 进行 填充 预示 攻击 , 攻击 者 必须 能 够 发 起 一 次 主动 攻击 , 也 就 是 说 他 必须 能 够 截获 
并 修改 加 密 流量 。 除 此 之 外 , 因为 时 间 的 差异 非常 小 , 所 以 攻击 者 必须 距离 目标 服务 器 足够 近 才 
能 检测 到 这 种 差异 。 攻 击 的 作者 们 是 在 同一 个 局 域 网 内 进行 攻击 试验 的 。 远 程 攻 击 看 起 来 对 TLS 
并 不 可 行 , 但 是 对 于 DTLS， 如 果 使 用 AlFardan 和 Paterson 在 2012 年 开发 的 时 间 放 大 技术 的 话 ， 就 
可 以 实现 攻击 。” 
口 针对 自动 化 系统 的 攻击 
经 典 的 全 明文 破解 填充 预示 攻击 都 是 针对 自动 化 系统 的 ， 这 些 系统 大 多 是 经 常 与 服务 器 
交互 并 含有 出 错 重 试 的 机 制 。 因 为 这 种 攻击 会 持续 发 出 很 多 连接 ， 它 只 针对 那些 将 敏感 
信息 放 在 同一 位 置 的 协议 有 效果 。IMAP 是 一 个 不 错 的 选择 。 此 攻击 需要 使 用 840 万 个 连 
接 来 破解 16 字 节 的 数据 。 因 为 每 次 错误 的 猜测 都 会 导致 一 次 TLS 错 误 ， 而且 因 为 TLS 被 设 
计 成 在 这 种 情况 下 销毁 会 话 ， 会 强制 每 次 新 连接 与 服务 需 进 行 一 次 全 新 的 握手 。 因 此 ， 
攻击 比较 缓慢 。 但 是 仍然 在 某 些 情况 下 攻击 者 可 能 有 几 个 月 的 时 间 来 完成 攻击 ， 并 且 可 
以 让 这 个 自动 化 过 程 以 更 快 的 速度 发 起 连接 。 
在 已 知 某 些 明文 的 情况 下 展开 攻击 
这 是 一 种 部 分 明文 破解 的 攻击 ， 如 果 一 个 加 密 块 中 最 后 2 字 节 中 的 一 个 是 已 知 的 ， 则 该 攻 
击 可 以 被 执行 。 攻 击 的 后 果 就 是 可 以 在 65 536 次 尝试 后 破解 剩余 的 字 节 。 
使 用 恶意 JavaScript 脚 本 对 浏览 器 进行 攻击 
AlFardan 和 Paterson 的 最 佳 攻击 方法 ， 是 在 受害 者 的 浏览 器 中 使 用 恶意 JavaScript， 瞄 准 的 
是 HTTP Cookie。 因 为 恶意 脚本 可 以 影响 Cookie 在 请 求 中 的 位 置 ， 因 此 可 能 将 加 密 的 数据 
重新 进行 安排 以 至 于 只 有 Cookie 中 的 1 字 节 是 不 知道 的 。 因 为 Cookie 中 使 用 的 字符 范围 的 
限制 ， 研 究 人 员 估 计 只 要 8192 次 请 求 就 足以 解密 出 1 字 节 的 明文 。 这 种 攻击 最 好 的 地 方 在 
于 ， 所 有 的 请 求 都 是 恶意 脚本 发 出 并 处 理 的 ， 所 以 所 有 的 连接 失败 对 于 受害 者 来 说 都 是 
无 法 感知 的 。 此 外 ， 也 不 需要 额外 的 插件 或 跨 域 权限 。 


7.4.4 缓解 方法 


AlFardan 和 Paterson 通 过 多 种 实现 证 明了 攻击 ， 并 将 这 些 问题 汇报 给 了 相应 的 开发 人 员 ， 然 
后 再 对 公众 披露 攻击 的 细节 。 这 样 一 来 , 在 公开 攻击 细节 的 时 候 ， 所 有 的 库 都 已 经 提前 修正 了 这 
个 问题 。 因 此 ， 给 你 的 SSL 库 打 补 丁 就 已 经 足够 缓解 攻击 了 ， 至 少 一 开始 的 时 候 这 是 有 效 的 。 
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QD Plaintext-Recovery Attacks Against Datagram TLS, http:/www.isg.rhul.ac.uk/%7Ekp/dtls.pdf ( AlFardan 和 Paterson ， 
NDSS，2012 年 2 月 )。 
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基于 TLS 中 CBC 实 现 的 脆弱 性 , 如 果 能 避免 使 用 CBC 模 式 的 算法 是 最 好 的 , 但 是 说 起 来 容易 ， 
做 起 来 难 。 在 很 多 场景 下 没有 足够 安全 的 替代 品 。 流 加 密 算法 不 使 用 填充 ,所 以 它们 并 不 受 此 问 
题 影响 ， 但 是 TLS 中 唯一 的 流 加 密 算 法 是 RC4， 这 个 算法 存在 其 他 的 问题 (下 个 小 节 将 讨论 这 个 
问题 ) 因此 无 法 使 用 。 其 他 的 流 加 密 算法 会 逐步 地 添加 到 TLS 中 ， 但 这 需要 时 间 。 "这 种 情况 让 
我 们 只 能 选择 已 验证 的 GCM 模 式 的 算法 ， 这 要 求 TLS 1.2 版 本 的 协议 支持 。2014 年 9 月 ，TLS 协 议 
的 一 个 扩展 改变 了 CBC 的 工作 模式 ， 使 其 对 密 文 而 不 是 对 明文 进行 身份 验证 ”， 但 是 我 们 还 需要 
继续 观察 这 个 扩展 是 否 得 到 足够 广泛 的 接受 以 便 真正 能 起 到 缓解 攻击 的 作用 。 












































7.5 ”RC4 缺陷 


RC4 由 Ron Rivest 在 1987 年 设计 ， 是 目前 仍 在 使 用 的 最 古老 的 算法 之 一 ， 不 考虑 其 存在 的 多 
种 缺陷 ，RC4 时 至 今日 仍然 非常 流行 。RC4 之 所 以 非常 流行 ， 既 与 其 出 现时 间 较 早 有 关 ， 也 因为 
其 实现 起 来 非常 简单 并 且 性 能 较 高 。 

今天 ， 我 们 都 知道 RC4 是 可 被 破解 的 ， 但 是 针对 RC4 的 攻击 还 没有 进化 到 足够 在 实际 场景 中 
展开 。 基 于 这 个 原因 ， 以 及 在 很 多 环境 中 RC4 的 替代 者 存在 更 多 的 问题 ， 因 此 RC4 仍 然 在 被 使 用 
着 ( 当然， 更 大 的 原因 是 人 们 的 惰性 以 及 很 多 人 都 不 知道 RC4 存 在 问题 需要 禁用 )。 

如 果 可 能 的 话 ， 应 该 完全 避免 使 用 RC4。 例如 ，TLS 1.2 协 议 提 供 了 安全 的 替代 算法 ， 这 说 明 
RC4 不 应 该 被 使 用 。 然 而 在 实际 中 ， 你 可 能 有 一 些 比较 好 的 理由 继续 来 使 用 它 ， 就 像 我 接 下 来 要 
讨论 的 那样 。 


7.5.1 密 钥 调度 弱点 


在 很 长 一 段 时 间 内 , RC4 已 知 的 最 大 问题 是 其 密 钥 调度 算法 的 缺陷 , 该 问题 由 Fluhrer、Martin 
和 Shamir 在 2001 年 公布 。 "他们 发 现 大 量 的 密 钥 都 存在 一 个 弱点 ， 就 是 密 钥 中 的 一 小 部 分 可 以 决 
定 初始 化 输出 的 大 部 分 内 容 。 在 实际 中 , 这 意味 着 如 果 密 钥 的 一 部 分 被 使 用 了 一 段 时 间 ， 攻击 者 
就 可 以 : (1) 破解 密 钥 流 的 一 部 分 (例如 利用 某 些 位 置 上 的 已 知 明文 ); (2) 破解 其 他 所 有 流 上 这 
些 位 置 上 的 明文 。 此 发 现 主 要 是 针对 WEP 协 议 进行 攻击 "”。 最 初 实现 的 针对 WEP 的 攻击 ， 需 要 
10 000 000 条 消息 来 破解 密 钥 。 后 来 该 攻击 被 改进 为 只 需要 100 000 条 消息 即 可 完成 。 

TLS 不 受 此 问题 影响 ， 因 为 每 个 连接 都 会 使 用 新 的 密 钥 。 因 此 RC4 仍 然 被 广泛 使 用 ， 因 为 这 

























































































QD ChaCha20 and Poly1305 based Cipher Suites for TLS, https://datatracker.ietf.org/doc/draft-agl-tls-chacha20poly1305/ 
(Langley 和 Chang，2013 年 11 月 )。 

© RFC 7366: Encrypt-then-MAC for TLS and DTLS, https://tools.ietf.org/html/rfc7366 ( Peter Gutmann，2014 年 9 月 )。 

@@ Weaknesses in the Key Scheduling Algorithm of RC4, http://www.crypto.com/papers/others/re4 ksaproc.pdf ( Fluhrer、 
Mantin 和 Shamir，2001 年 )。 

(@ WEP 不 经 常 重用 密 钥 ， 但 是 它 会 从 一 个 主 密 钥 中 导出 新 的 密 钥 ， 这 是 通过 使 用 一 种 连接 的 方式 来 完成 的 ， 这 样 就 

导致 会 话 密 钥 和 主 密 钥 很 相似 。 举 例 来 说 ， 因 为 TLS 使 用 了 散 列 ， 所 以 无 法 从 连接 的 密 钥 中 反 推 出 主 密 钥 。 
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个 已 知 的 问题 并 不 影响 到 其 在 TLS 中 的 使 用 。" 尽 管 存在 一 些 已 知 问题 , 但 是 RC4 依 然 是 TLS 中 使 
用 最 广泛 的 加 密 算法 。 我 在 2010 年 所 做 的 关于 SSL 使 用 情况 的 大 规模 问卷 调查 结果 显示 ，RC4 是 
最 受 欢迎 的 加 密 算 法 ”， 有 98% 的 服务 器 支持 使 用 RC4 算 法 ”。 了 解密 钥 调 度 算法 弱点 的 人 们 不 喜 
欢 RC4 因 为 其 有 可 能 被 误 用 ， 他 们 不 会 在 新 的 系统 中 继续 使 用 RC4。” 

当 BEAST 攻 击 早 2011 年 被 确认 之 后 ， 使 得 所 有 的 分 组 加 密 算法 变 得 不 安全 (即使 BEAST 只 
在 TLS 1.0 以 及 更 早 的 协议 中 有 效 , 但 是 在 当时 TLS 1.1 协 议 还 没有 诞生 ), 因为 RC4 是 流 加 密 算法 ， 
对 BEAST 免 疫 ， 所 以 就 成 了 TLS 协 议 中 唯一 安全 的 加 密 算法 。2013 年 3 月 ， 当 全 新 的 、 毁 灭 性 的 
漏洞 在 RC4 中 被 发 现 的 时 候 ，ICSI 证 书 公 证 人 项 目 显示 ， 互 联网 上 有 约 $0% 的 流量 在 使 用 RC4。 
在 写 这 本 书 的 时 候 ， 也 就 是 2014 年 7 月 ，RC4 的 比例 是 26%。® 


7.5.2 单字 节 偏 差 


加 密 偏差 ( encryption bias ) 问题 是 密码 学 专家 广泛 担忧 RC4 的 另外 一 个 原因 。 早 在 2001 年 ， 
人 们 发 现 密 钥 流 中 的 某 些 字 节 出 现 的 频率 要 比 其 他 字 节 高 。" 具 体 来 说 ， 密 钥 流 的 第 二 字 节 更 倾 
向 于 为 0 的 概率 是 1/128 ( 比 正 常 的 1/256 高 了 2 倍 )。 

为 了 理解 偏差 如 何 可 以 导致 破解 明文 内 容 , 我 们 需要 回 过 头 来 先 看 一 下 RC4 的 工作 原理 。RC4 
是 一 种 流 加 密 算法 : 在 初始 化 阶段 完成 之 后 , 该 算法 产生 一 个 无 穷 的 流 数据 。 这 个 数据 应 当 是 完 
全 随机 的 , 然后 此 数据 被 用 于 与 明文 内 容 进 行 异 或 ,一 次 一 字 节 。 这 个 异 或 操作 会 让 明文 被 完全 
掩 码 成 随机 数据 ， 除 非 在 拥有 RC4 密 钥 的 情况 下 ， 否 则 无 法 破解 。 

当 我 们 说 到 偏差 , 指 的 是 某 些 值 出 现 的 概率 比 其 他 的 要 大 。 最 坏 的 情况 就 是 刚才 讲 到 的 倾向 
于 0 的 这 种 。 为 什么 ? 因为 1 字 节 与 0 进行 异 或 ， 结 果 还 是 这 1 字 节 。 因 此 ， 只 要 我 们 知道 RC4 密 钥 
流 的 第 二 字 节 倾向 于 为 0， 那 么 我 们 就 知道 经 过 加 密 的 密 文 的 第 二 字 节 其 实 与 明文 是 相同 的 ! 

为 了 展开 这 种 攻击 ， 你 需要 获取 到 相同 明文 被 多 种 不 同 密 钥 加 密 的 密 文 。 对 于 TLS 来 说 ， 这 
就 要 针对 多 个 连接 展开 攻击 。? 然 后 你 来 观察 第 二 字 节 ,如 果 这 个 位 置 的 值 重复 出 现 得 比较 频繁 ， 












































































































































GD RSA Security Response to Weaknesses in Key Scheduling Algorithm of RC4，http:Wwww.emc.comy/emc-plusMsa-labs/ 
historical/rsa-security-response-weaknesses-algorithm-rc4.htm ( RSA Laboratories Technical Note，2001 年 9 月 1 日 )。 

@) 说 来 有 趣 ， 只 有 大 概 一 半 的 TLS 服 务 器 强制 了 套件 偏好 。 另 外 一 半 则 使 用 浏览 器 提交 来 的 套件 列表 中 的 第 一 个 。 

@) mternet SSL Survey 2010 is here, http://blog.ivanristic.com/2010/07/internet-ssl-survey-2010-is-here.html ( Ivan Ristik ， 
2010 年 7 月 29 日 )。 

人 由 What’s the deal with RC4, http://blog.cryptographyengineering.com/2011/12/whats-deal-with-rc4.html ( Matthew Green ， 
2011 年 12 月 15 日 )。 

© The ICSI Certificate Notary, http://notary.icsi.berkeley.edu/#connection-cipher-details ( International Computer Science 
Institute， 检 索 于 2014 年 7 月 16 日 )。 

© A Practical Attack on Broadcast RC4, http://saluc.engr.uconn.edu/refs/stream cipher/mantin01attackRC4.pdf ( Mantin 和 
Shamir，2011 年 )。 

@ 在 密码 学 中 ,这 个 被 称 为 多 会 话 ( multisession ) 攻击 。 这 个 名 称 在 TLS 的 上 下 文中 可 能 会 比较 混淆 ， 因 为 一 个 TLS 
会 话 ( TLS session ) 是 一 组 密码 学 参数 ， 这 组 参数 通过 会 话 复 用 机 制 可 以 被 多 个 连接 使 用 。 即 使 在 会 话 复 用 的 情 
况 下 ，TLS 也 为 每 个 连接 生成 新 的 对 称 密 钥 。 
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则 这 个 值 极 有 可 能 就 是 明文 内 容 的 相同 值 。 可 能 会 需要 一 些 猜测 ， 但 是 你 能 观察 到 的 密 文 越 多 ， 











你 猜测 成 功 的 概率 就 越 大 〈 如 网 7-7 所 示 )。 
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图 7-7 RC4 密 钥 流 第 二 字 节 偏差 (来源: AlFardan 等 ，2013 ) 














我 们 通过 这 些 
在 了 制定 的 位 置 上 。 




















册 差 能 获得 什么 ， 取 决 于 协议 上 的 设计 。 第 一 个 要 素 是 ,有效 的 数据 确实 被 放 
例如 ,在 TLS 协 议 中 ， 最 开始 的 36 字 节 一 般 被 Finished 协 议 消息 使 用 ， 并 且 








在 每 次 连接 的 时 候 都 发 生变 化 ， 因 此 没有 长 效 数据 。" 对 于 TLS 协 议 , 第 二 字 节 偏差 没什么 用 途 。 
第 二 个 要 素 是 , 可 以 在 大 量 的 连接 上 , 确保 每 次 获取 的 数据 都 是 相同 的 ,并且 每 次 都 出 现在 
同一 个 位 置 。 对 于 某 些 协议 来 说 ， 这 不 是 问题 。 例 如 在 HTTP 中 ，Cookie 和 密码 在 每 个 请 求 中 的 




















位 置 都 相同 。 


7.5.3 前 256 字 节 偏差 








2013 年 3 
TLS 的 有 效 攻 击 。” 














月 ，AlFardan 等 人 发 表 了 一 篇 论文 ， 该 论文 描述 了 新 发 现 的 RC4 漏 洞 以 及 两 种 针对 


中 某 些 协议 扩展 增加 了 也 进行 了 加 密 的 其 他 消息 。 例 如 ， 用 于 协商 SPDY 的 次 协议 协商 (next protocol negotiation ， 














NPN ) 扩展 就 是 如 此 。 不 像 Finished 消 息 那 样 ， 内 容 是 完全 随机 的 ， 因 此 其 他 消息 可 能 会 被 利 





攻击 。 


© On the Security of RC4 in TLS and WPA, http://www.isg.rhul.ac.uk/tls/ ( AlFardan 等 ， 

















jRC4 侦 差 来 实现 


2013 年 3 月 13 日 )。 
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其 中 一 个 攻击 是 基于 RC4 偏 差 并 不 是 局 限于 某 些 位 置 的 某 些 字 节 。 通过 生成 并 分 析 2“ 个 RC4 
密 钥 的 密 钥 流 ，AlFardan 等 人 发 现在 最 开始 的 256 字 节 中 均 存 在 着 多 种 偏差 。 他 们 进一步 改进 了 
算法 来 处 理 独立 位 置 上 的 多 种 偏差 ( 例如 某 字 节 出 现 10 或 者 23 的 概率 较 大 , 但 是 出 现 其 他 值 的 概 
率 却 相 同 )。 最 后 的 结论 是 需要 2 个 数据 样本 来 破解 全 部 的 256 字 节 的 内 容 , 成 功率 几乎 是 100%。 
在 被 攻击 数据 的 字符 集合 有 限 的 情况 下 ( 例如 密码 和 HTTP Cookie ), 数据 样本 的 数量 可 以 减少 到 
2”。 这 与 RC4 承 诺 的 2 位 的 安全 性 相差 其 远 。 


注意 

为 什么 在 存在 如 此 多 危险 迹象 的 情况 下 ， 在 很 长 时 间 内 这 种 偏差 问题 没有 被 及 时 发 
现 ? 我 听 过 的 一 种 说 法 是 ， 绝 大 多 数 密码 学 专家 认为 RC4 已 经 被 证 明 为 不 安全 的 ， 因 
此 不 需要 做 进一步 的 研究 。 事实 上 , 很 多 密码 学 专业 非常 惊讶 于 RC4 被 使 用 的 广泛 程 
度 。 这 可 能 是 因为 在 TLS 协 议 中 没有 针对 RC4 的 广泛 攻击 导致 了 RC4 被 继续 使 用 下 去 。 


尽管 这 种 攻击 较为 严重 ,但 是 以 下 诸多 限制 使 其 依然 主要 停留 在 理论 阶段 。 

口 连接 数量 
在 最 好 的 情况 下 , 攻击 者 需要 22 个 加 密 数 据 的 样本 。 从 另 一 个 角度 来 看 , 这 需要 268 435 456 
个 连接 。 显 然 ， 获 取 全 部 数据 样本 需要 很 长 的 时 间 并 且 可 能 使 用 大 量 的 网 络 带宽 。 在 可 
控 的 理想 环境 下 , 也 就 是 两 端 被 配置 成 尽 可 能 多 的 生成 和 处 理 RC4 连 接 , 在 启用 会 话 恢复 
的 情况 下 ,研究 人 员 们 在 每 秒 发 起 500 个 连接 ， 总 共 使 用 了 2” 个 连接 的 情况 下 ， 完 成 了 这 
个 耗 时 16 小 时 的 实验 。 
在 与 现实 生活 更 加 贴近 的 场景 下 ， 一 个 纯粹 的 被 动 攻击 会 耗费 更 长 的 时 间 。 例 如 ， 假 设 
每 秒 一 个 连接 〈 每 天 86 400 个 连接 )， 这 需要 8 年 时 间 才 能 收集 齐全 部 的 数据 样本 。 
连接 速率 可 以 通过 控制 受害 者 的 浏览 器 来 提高 ， 强 迫 浏览 器 并 行 发 起 多 个 连接 。 这 是 与 
BEAST 类 似 的 方法 。 在 这 种 场景 下 ， 需 要 做 额外 的 工作 来 绕 过 连接 复 用 并 且 避 免 多 个 请 
求 经 由 同一 个 连接 发 送 (攻击 只 能 获取 到 每 个 连接 的 前 256 字 节 )。 为 了 完成 上 述 步骤 ， 
可 以 在 观察 到 结果 之 后 马上 在 TCP 层 使 用 中 间 人 攻击 的 方式 重 置 当前 连接 。 因 为 TLS 协 议 
会 在 遇 到 错误 的 时 候 丢 弃 会 话 ， 所 以 在 这 种 方式 下 ， 每 次 都 是 全 握手 。 这 将 使 得 攻击 变 
得 非常 缓慢 。” 

口 位 置 
这 是 一 种 中 间 人 攻击 。 正 像 前 文 所 述 ， 被 动 攻击 由 于 无 法 在 合理 的 时 间 内 完成 ， 因 此 实际 
上 很 难 发 生 。 进行 主动 攻击 的 话 则 需要 有 注入 JavaScript 恶 意 脚 本 和 进行 中 间 人 攻击 的 能 

口 范围 
这 个 攻击 只 对 明文 的 前 256 字 节 有 效 。 因 为 需要 大 量 的 数据 样本 来 进行 分 析 ， 因 此 很 难 确 
保 在 所 有 的 样本 中 存在 的 都 是 完全 相同 的 敏感 数据 。 这 个 限制 使 得 此 攻击 只 能 针对 某 些 






































































































































Qa 理论 上 是 这 样 。 实 际 中 ， 应 用 程序 对 于 非 正常 关闭 的 连接 是 倾向 于 尽量 容忍 的 ， 这 样 就 容易 受到 截断 攻击 。 可 以 
在 6.7 节 中 找到 更 多 信息 。 
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基于 密码 进行 身份 验证 的 协议 展开 ， 比 如 HTTP 、Cookie。 事 实证 明 ,， 即使 在 HTTP 中 ， 攻 
击 也 不 是 很 容易 发 生 ， 因 为 主流 的 浏览 器 都 将 Cookie 放 在 了 220 字 节 界 限 之 后 (前 36 字 节 
是 TLS 使 用 的 , 数据 价值 不 大 ), HTTP 基 本 身份 验证 在 Chrome 中 会 受到 威胁 , 因为 Chrome 
将 密码 放 在 了 100 字 节 左 右 的 位 置 。 所 有 其 他 的 浏览 需 都 将 密码 放置 在 了 攻击 能 够 破解 的 
范围 之 外 。 


7.5.4” 双 字 节 偏差 


除了 单字 节 偏 差 外 ，RC4 还 存在 影响 到 连续 字 节 的 偏差 。 这 些 偏差 不 出 现在 单一 位 置 而 是 以 
通常 的 间隔 连续 出 现在 加 密 流 中 。?” 
在 AlFardan 等 人 的 第 二 个 攻击 中 ， 他 们 展示 了 如 何 使 用 双 字 节 偏 差 来 破解 明文 。 利 用 双 字 节 
偏差 的 攻击 的 一 个 优点 是 不 需要 使 用 大 量 不 同 RC4 密 钥 加 密 的 数据 样本 。 这 使 得 攻击 的 效率 更 
， 因 为 多 个 样本 可 以 从 同一 个 连接 上 获取 。 男 外 一 方面 ， 因 为 仍然 需要 不 断 地 提交 加 密 后 的 数 
， 因 此 攻击 者 需要 几乎 完全 控制 受害 者 的 网 络 。 被 动 攻击 不 可 行 。 

双 字 节 偏 差 攻击 可 以 基于 13x2” 个 数据 样本 破解 出 16 字 节 的 明文 数据 。 为 了 收集 到 一 个 数据 
样本 , 需要 使 用 一 个 512 字 节 的 POST 请 求 。 假设 响应 的 数据 较 小 ， 则 攻击 需要 消耗 3.25 TB 的 流量 。 
在 可 控 的 理想 状态 下 ， 按 照 每 小 时 收集 600 万 个 样本 ， 这 些 数据 样本 的 全 部 收集 会 花费 2000 个 小 
时 (83 天 )。 

虽然 这 个 攻击 比 第 一 种 要 更 加 实际 ， 但 是 依然 在 现实 中 很 难 实施 。 


7.5.5 ”针对 密码 进行 攻击 的 改进 


2015 年 3 月 ，Garman 等 研究 人 员 发 布 了 他 们 针对 RC4 的 改进 型 攻击 的 细节 ， 他 们 的 攻击 是 专 
门 针对 被 加 密 数 据 是 密码 的 情况 。” 根 据 他 们 的 报告 ， 他 们 的 攻击 可 以 做 到 在 使 用 2* 次 加 密 后 就 
可 以 获得 不 错 的 破解 成 功率 ， 而 之 前 的 类 似 攻击 方法 需要 2” 次 加 密 才 能 破解 出 HTTP 的 会 话 
Cookie。 

同样 在 2015 年 3 月 ，Imperva 强 调 了 RC4 的 恒定 弱点 〈invariance weakness )， 该 问题 在 2001 年 
就 发 布 过 。? 该 研究 集中 在 RC4 是 已 知 会 偶尔 生成 不 好 密 钥 的 问题 上 , 该 问题 可 能 会 导致 TLS 连 接 
的 前 64 字 节 数 据 被 破解 。 ”虽然 攻击 者 无 法 影响 RC4 密 钥 的 生成 ， 但 是 一 个 被 动 的 攻击 者 经 过 观 
察 几 百 万 个 使 用 RC4 加 密 的 TLS 连 接 ， 就 可 以 在 少 部 分 场景 下 获取 到 明文 。 通 过 这 种 方式 ， 大 概 
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GD Statistical Analysis of the Alleged RC4 Keystream Generator, http:/www.mindspring.com/%7Edmcgrew/re4-03.pdf 
(Fluhrer 和 McGrew，2001 年 )。 

©® Attacks Only Get Better: Password Recovery Attacks Against RC4 in TLS, http:/www.isg.rhul.ac.uk/tls/(RC4mustdie.html 
(Garman 等 ，2015 年 3 月 )。 

@) Attacking SSL when using RC4, http://www.imperva.com/docs/HII Attacking SSL when using RC4.pdf ( Imperva， 
2015 年 3 月 26 日 )。 

@ 理论 上 讲 ， 可 能 有 100 字 节 会 被 破解 ,但 是 TLS 连 接 本 身 会 使 用 掉 前 36 字 节 ,， 因 此 应 用 层 数 据 最 多 有 64 字 节 可 能 被 
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每 2 个 连接 中 就 有 一 个 会 被 破解 。 

2015 年 7 月 ，Vanhoef 和 Piessens 进 一 步 改 进 了 RC4 攻 击 ， 他 们 将 破解 一 个 长 度 为 16 字 节 的 
Cookie 的 时 间 减 小 到 只 有 大 约 75 小 时 (虽然 他 们 声明 有 一 个 案例 只 需要 52 小 时 ) "”。 他 们 的 方法 
是 执行 一 个 BEAST 风 格 的 攻击 , 在 该 攻击 中 将 恶意 JavaScript 注 入 到 受害 者 的 浏览 器 来 加 速 攻击 。 
然而 ， 即 使 这 样 ， 依 然 要 求 受 害 者 发 出 大 约 9x2”" 次 请 求 ， 每 个 请 求 都 含有 相同 密 钥 加 密 后 的 密 
文 。 为 了 在 75 小 时 之 内 完成 攻击 , 研究 者 们 需要 每 秒 发 出 约 4450 个 请 求 。 这 样 大量 的 请 求 和 如 此 
快 的 速度 让 人 怀疑 该 攻击 方法 是 否 可 以 在 现实 生活 中 使 用 。 









































7.5.6 ”缓解 方法 : RC4 与 BEAST、Lucky 13 和 POODLE 的 比较 


针对 RC4 的 攻击 很 严重 ， 因 为 在 理想 环境 下 可 能 导致 明文 被 破解 , 但 是 在 现实 生活 中 则 很 难 
施展 攻击 。 考 虑 到 RC4 的 安全 宽 限 期 已 变 得 非常 小 ， 最 好 的 方法 还 是 尽 可 能 快 地 停止 使 用 RC4。 

在 没有 合适 的 备 选 算法 的 时 候 , 停止 使 用 RC4 并 不 是 最 佳 选 择 。 这 里 有 以 下 两 方面 的 问题 需 

口 互 操作 性 
RC4 是 存在 很 入 并 广泛 使 用 的 加 密 算法 ,被 “承诺 ”为 将 永远 存在 。 这 样 一 来 ， 可 能 会 有 
一 些 客户 端 除了 RC4 之 外 不 支持 其 他 算法 。 然而 , 机 会 在 于 这 种 类 型 的 客户 端的 数量 非常 
小 。” 如 果 你 有 一 个 真正 多 元 化 的 客户 端 群 ， 并 且 你 认为 这 些 只 支持 RC4 的 客户 端 会 导致 
巨大 的 问题 发 生 ， 那 就 可 以 考虑 继续 保留 RC4, 但 是 要 把 RC4 放 在 算法 列表 的 最 后 面 。 
为 大 多 数 客户 端 会 选择 使 用 其 他 的 算法 ， 这 样 做 既 降低 了 发 生 攻 击 的 可 能 性 ， 也 没有 破 
坏 互 操作 性 。 
安全 性 
如 果 你 禁用 了 RC4，, 那么 就 需要 考虑 在 TLS 1.0 和 更 早 的 版 本 中 使 用 CBC 模 式 算法 的 问题 。 
在 这 种 情况 下 ，BEAST 和 POODLE 攻 击 可 能 会 发 生 。 首 先 ， 你 的 服务 器 可 能 还 是 最 高 只 
支持 TLS 1.0 协 议 ( 如 果 是 这 样 ， 先 不 要 考虑 RC4 的 问题 ,而 是 尽快 升级 到 TLS 1.2 )。 你 也 
许 当 下 还 没有 禁用 SSL 3。 即 使 你 的 服务 器 进行 了 及 时 的 更 新 和 升级 ， 你 的 客户 端 方面 也 
有 可 能 存在 问题 。 某 些 客户 端 会 容易 遭 到 BEAST 攻 击 。 
没有 足够 的 数据 表明 哪 种 攻击 更 容易 发 生 (BEAST、POODLE 还 是 RC4 )。 它 们 都 很 难 进 
行 实 施 。 针对 RC4 的 攻击 有 可 能 在 任何 版 本 的 协议 下 实施 , 但 是 这 需要 浏览 器 被 注入 并 且 
有 足够 的 时 间 和 带宽 。 目 前 没有 已 知 的 针对 POODLE 的 防御 ， 虽 然 针 对 SSL 3 进行 攻击 也 
需要 一 些 额外 的 工作 。BEAST 也 很 难 进行 实施 ， 但 是 如 果 各 种 条 件 都 具备 ， 攻 击 将 会 进 
行 得 很 快 。 实 施 BEAST 攻 击 的 最 大 障碍 是 主流 的 平台 都 已 经 做 了 针对 性 的 升级 和 更 新 ， 
客户 端 方面 存在 漏洞 的 比例 也 一 直 在 下 降 。 真 正 的 问题 是 : 是 否 存在 一 些 我 们 不 知道 的 ， 
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Q@ RC4 No More，https:Wwwwrc4nomore.com/ (Vanhoef 和 Piessens ， 检 索 于 2015 年 7 月 25 日 )。 
©® The Web is World-Wide, or who still needs RC4, https://blog.cloudflare.com/the-web-is-world-wide-or-who-still-needs- 
rec4/( John Graham-Cumming，2014 年 5 月 19 日 )。 
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但 是 却 比 这 些 攻击 更 好 的 手段 ? 很 多 人 都 在 问 这 个 问题 , 特别 是 针对 RC4 这 个 已 经 被 FIPS 
排除 在 外 的 算法 。 这 些 漏洞 和 弱点 是 否 早已 被 NSA 所 了 解 ?9 还 有 什么 问题 是 他 们 早 就 知 
道 了 的 ? 

Lucky 13 也 值得 担 优 。 虽 然 进行 了 紧急 的 修复 ， 但 是 TLS 中 的 CBC 模 式 天 生 就 不 安全 。 乐 
观 地 看 , 使 用 TLS 1.2 的 客户 端 和 服务 器 趋向 于 使 用 已 验证 的 GCM 模 式 套件 , GCM 不 使 用 
RC4 或 者 CBC， 因 此 这 是 目前 来 看 解决 各 种 TLS 密 码 套 件 漏洞 的 最 佳 方法 。 

我 们 不 能 基于 投机 和 偏执 的 心理 来 作 决 定 ; 此 外 严格 地 说 ,也 不 存在 完全 正确 的 决定 。 缓解 
BEAST 和 POODLE 攻 击 在 某 些 场合 下 是 合理 的 , 禁用 RC4 在 另外 的 场景 下 可 能 也 是 最 住 选择 。 在 
这 种 情况 下 ， 去 看 看 别人 都 怎么 做 ,终归 是 有 所 帮助 的 : 在 撰写 本 书 的 时 候 ，Google 仍 然 启 用 了 
RC4， 但 是 只 针对 那些 不 支持 现代 加 密 算法 的 客户 端 才 使 用 (TLS 1.0 和 更 早 的 版 本 )。 

另 一 方面 , Microsoft 在 Windows 8.1 中 大 胆 地 禁用 了 RC4, 以 及 在 部 分 Windows 7 中 也 是 如 此 。 
Schannel 在 客户 端 模 式 下 依然 会 使 用 RC4 ， 但 是 仅 当 服务 器 端 不 提供 其 他 加 密 算法 时 才 会 使 用 。 
Firefox 也 在 2015 年 1 月 开始 使 用 同样 的 策略 ”, 虽然 它 现在 倾向 于 只 对 在 自己 白 名 单 上 的 服务 器 才 
使 用 RC4, 并 将 此 作为 实现 全 面 废弃 RC4 的 第 一 步 。( 很 难 及 时 发 现 浏览 器 在 某 个 时 刻 的 行为 是 如 
何 的 ， 因 为 它们 在 每 个 版 本 中 都 会 有 变化 。) 

有 些 观点 认为 这 种 回 退 是 必要 的 , 因为 仍然 存在 只 支持 RC4 的 服务 器 。 根 据 SSL Pulse 的 数据 ， 
截至 2015 年 7 月 ， 还 有 932 个 这 样 的 服务 器 (0.6% )。 

2015 年 2 月 ，RFC 7465 发 布 ， 明 确 禁 止 在 TLS 中 使 用 RC4 算 法 。? 


7.6 三 次 握手 攻击 


2009 年 ， 当 发 现 TLS 的 重新 协商 机 制 不 安全 的 时 候 ， 就 发 明 出 了 安全 重新 协商 的 方法 来 对 协 
议 进行 修正 ( 如 果 你 还 不 了 解 这 些 ， 请 阅读 7.1 节 ); 但 是 这 个 做 法 并 不 是 特别 有 效 。2014 年 ， 一 
组 研究 人 员 展示 了 他 们 的 三 次 握手 攻击 ， 该 攻击 利用 了 两 个 独立 的 TLS 漏 洞 ， 对 重新 协商 再 次 展 
开 了 攻击 。 


7.6.1 攻击 


为 了 理解 攻击 是 如 何 实施 的 , 你 首先 需要 了 解 安 全 重新 协商 的 原理 。 当 重新 协商 发 生 的 时 候 ， 
服务 器 校 验 客 户 端 提供 的 前 次 握手 中 的 verify_data 值 ( 在 前 次 握手 中 的 已 加 密 Finished 消 息 中 存 
放 )。 因 为 只 有 客户 端 能 知 到 这 个 值 ， 所 以 服务 器 会 确认 发 起 重新 协商 的 客户 端 还 是 同一 个 。 

这 看 起 来 攻击 者 无 论 如 何 也 不 可 能 获取 到 这 个 值 ， 因 为 在 这 个 值 传输 的 时 候 都 是 加 密 的 。 但 




























































































































































































GD Bug 1088915 - Stop offering RC4 in the first handshakes, https://bugzilla.mozilla.org/show_bug.cgi?id=1088915 ( Bugzilla@ 
Mozilla， 检 索 于 2015 年 3 月 22 日 )。 

© RFC 7465: Prohibiting RC4 Cipher Suites, https://tools.ietf.org/html/rfc7465 ( Andrei Popov，2015 年 2 月 )。 

® Triple Handshakes Considered Harmful: Breaking and Fixing Authentication over TLS, https:/www.secure-resumption. 
com ( Bhargavan，2014 年 3 月 )。 
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是 现在 有 办 法 来 破解 出 这 个 值 并 针对 重新 协商 展开 攻击 。 具 体 的 攻击 方法 有 如 下 三 个 步 又, 并 利 
用 了 TLS 协 议 的 两 个 漏洞 。 

1. 第 一 步 : 未 知 共 享 密 钥 缺 陷 

第 一 个 被 利用 的 缺陷 发 生 在 RSA 的 密 钥 交换 过 程 中 。 作 为 TLS 会 话 安 全 的 基石 ， 主 密 钥 的 生 
成 ， 主 要 是 由 客户 端 驱 动 的 。 

(1) 客户 端 生成 预 主 密 钥 和 一 个 随机 数 并 将 它们 发 送 给 服务 器 。 

(2) 服务 器 生成 自己 的 随机 数 然后 发 送 给 客户 端 。 

(3) 客户 端 和 服务 器 从 这 三 个 值 中 生成 主 密 钥 。 

两 个 随机 值 都 是 明文 发 送 的 , 但 是 为 了 防止 针对 TLS 的 中 间 人 攻击 , 预 主 密 钥 是 加 密 传输 的 ， 
客户 端 用 服务 器 的 公 钥 加 密 ,， 这 样 攻击 者 就 无 法 破解 ,除非 攻击 者 能 获取 到 服务 器 的 私 钥 ， 这 是 
攻击 者 的 第 一 道 难 关 。 

三 次 握手 攻击 依赖 于 一 个 恶意 网 站 的 配合 。 在 这 种 情况 下 , 你 要 让 受害 者 访问 这 个 看 起 来 无 
害 的 ， 但 却 在 你 控制 之 下 的 网 站 (通常 的 方式 是 使 用 社会 工程 学 方法 )。 在 这 个 网 站 上 ， 你 有 你 
自己 的 有 效 证 书 。 

接 下 来 就 是 有 趣 的 步骤 。 客 户 端 生成 了 一 个 预 主 密 钥 和 一 个 随机 值 ， 并 发 送 给 了 恶意 服务 
器 。" 预 主 密 钥 是 加 密 的 ,但 是 恶意 网 站 是 这 个 值 的 目标 接收 方 ， 因 此 可 以 解密 开 。 在 与 客户 
端的 握手 完成 之 前 ， 恶 意 网 站 向 目标 网 站 发 起 一 个 连接 , 并且 复 用 了 客户 端 发 来 的 预 主 密 钥 和 
随机 值 。 之 后 恶意 网 站 将 目标 服务 器 的 随机 数 传 给 客户 端 。 当 密 钥 交换 结束 后 ， 将 会 形成 两 个 
TLS 连 接 ， 涉 及 三 方 的 通信 和 局面。 这 三 方 共享 相同 的 连接 参数 ， 因 此 拥有 相同 的 主 密 钥 ， 如 图 
7-8 所 示 。 

这 个 缺陷 叫 作 未 知 密 钥 共享 ( unknown key-share ) ”， 可 以 明显 发 现 这 不 是 TLS 期 望 的 行为 。 
然而 ,仅仅 依靠 这 个 缺陷 ,还 无 法 展开 攻击 。 恶 意 服务 器 现在 还 无 法 真正 完成 有 害 的 行为 。 因 为 
它 有 主 密 钥 , 所 有 攻击 者 可 以 看 到 所 有 的 通信 内 容 , 但 是 这 在 不 引入 额外 服务 器 的 情况 下 也 可 以 
达成 。 如 果 攻 击 者 想 要 达成 这 个 效果 ,他 可 以 进行 网 络 钓 鱼 , 钓鱼 是 一 个 严重 的 问题 , 但 是 那 不 
是 TLS 能 解决 的 。 


注意 

RSA 密 钥 交 换 几 乎 到 处 被 使 用 , 但 是 同样 有 针对 DHE 密 钥 交 换 的 攻击 。 研 究 者 发 现 主 
流 的 TLS 实 现 会 接受 不 是 素数 的 不 安全 DH 参数 。 在 TLS 协 议 中 ， 是 由 服务 器 来 选择 
DH 参数 的 。 因 此 ， 恶 意 的 中 间 服 务 器 精心 选择 参数 之 后 可 以 轻而易举 地 破坏 DHE 密 
钥 交 换 。ECDHE 密 钥 交 换 是 DHE 的 一 个 椭圆 曲线 变 体 , 无 法 攻破 ,因为 没有 任何 TLS 


































































































































































































Q 因为 恶意 服务 器 在 客户 端 和 服务 器 中 间 ， 它 总 是 可 以 强迫 通信 双方 使 用 基于 RSA 密 钥 交 换 的 某 种 套件 ， 只 要 被 攻 
击 的 通信 双方 支持 这 类 套件 ， 那 这 种 强迫 就 可 以 持续 进行 下 去 。 在 TLS 中 ， 是 由 服务 器 来 选择 密码 套件 。 当 客户 

端 向 服务 器 发 起 一 次 握手 的 时 候 ， 亚 意 服务 器 只 提供 使 用 RSA 密 钥 交 换算 法 的 套件 。 

© Unknown key-share attacks on the station-to-station (STS) protocol, https://books.google.co.uk/books?id=cyHE4fOukbYC 
&pg=PA154 ( S. Blake-Wilson 和 A. Menezes， 第 154~170 页 ，Public Key Cryptography，1999 年 )。 
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的 实现 支持 任意 的 DH 参数 (使 用 DHE 时 也 同样 如 此 )。ECDHE 则 依赖 于 已 命名 曲线 ， 
这 些 曲线 是 公认 较 好 的 参数 集 。 





连接 1: 新 TLS 会 话 


客户 端 攻击 者 服务 器 


攻击 者 重复 使 用 客户 
端的 随机 数据 和 预 主 
密 钥 


















ClientHello 


ServerHello 


Certificate 


Certificate 
ServerHelloDone 


ClientKeyExchange 


ClientKeyExchange 
angeCipherSpec 


两 个 TLS 连 接 现 在 共享 该 主 密 钥 和 会 话 ID 





























图 7-8 三 次 握手 : 未 知 密 钥 共享 


攻击 者 目前 无 法 针对 重新 协商 进行 攻击 是 因为 每 个 连接 都 含有 不 同 的 verify_data 值 。 为 什 
么 ?9 因为 证 书 不 一 样 : 第 一 个 连接 是 恶意 网 站 域名 的 证 书 ， 而 第 二 个 连接 是 目标 网 站 的 证 书 。 

对 于 第 一 个 连接 , 攻击 者 无 能 为 力 , 但 接 下 来 , 攻击 者 可 以 利用 会 话 恢复 机 制 并 利用 后 续 的 
短 握手 。 当 会 话 恢复 的 时 候 ， 是 没有 进行 身份 验证 的 , 会话 恢复 仅 使 用 主 密 钥 就 可 以 实现 对 通信 
双方 的 身份 验证 。 
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然而 ， 当 会 话 恢复 的 时 候 不 再 要 求证 书 。 因 此 当 握 手 结束 后 ，Finished 消 息 在 两 个 连接 上 将 
是 相同 的 〈 如 图 7-9 所 示 ) 




















连接 2: 恢复 的 TLS 会 话 


客户 端 攻击 者 服务 器 





连接 现在 是 完全 同步 的 
client verify_data 和 server_verify_data 是 相同 的 














图 7-9 三 次 握手 : 全 TLS 连 接 同步 





3. 第 三 步 : 仿冒 身份 

现在 攻击 者 可 以 开始 发 起 重新 协商 ,并 利用 客户 端的 证 书 伪 造 身 份 。 攻 击 者 完全 控制 了 两 边 
的 连接 ， 并 可 以 发 送 任意 数据 。 在 目标 网 站 这 边 ， 攻 击 者 浏览 到 一 个 需要 进行 身份 验证 的 资源 ， 
对 此 目标 服务 器 发 出 重新 协商 请 求 并 要 求 客户 端 提供 证 书 。 因 为 安全 连接 参数 在 两 个 连接 上 均 相 
同 ， 攻 击 者 就 可 以 复制 消息 ,让 受害 者 和 目标 服务 器 进行 重新 协商 ,不 同 的 是 ,这 次 重新 协商 客 
户 端 会 发 送 证 书 进行 身份 验证 。 至 此 攻击 完成 ( 如 图 7-10 所 示 )。 

重新 协商 之 后 恶意 服务 器 无 法 观察 明文 流量 , 该 服务 器 将 继续 在 受害 者 和 目标 网 站 之 间 传 递 
数据 直到 任意 一 端 关闭 连接 。 
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连接 2: 恢复 的 TLS 会 话 〈 续 ) 


客户 端 攻击 者 服务 器 


AppData, AppData, 





攻击 者 注入 攻击 者 提交 HTTP 请 求 ， 
JavaScript 代 码 该 请 求 会 以 受害 者 的 身份 
进行 处 理 ， 然 后 触发 重新 
协商 
ClientHello 


ServerHello 


Certificate 


ServerKeyExchange 


CertificateRequest 


ServerHelloDone 


CertificateVerfy | 
ChangeCipherspee | 
Finished | 

ChangeCipherSpec 

Finished 

中 er i i ed sn 

















图 7-10 ”三 次 握手 : 仿冒 身份 




















7.6.2 ”影响 


三 次 握手 攻击 演示 了 我 们 认为 安全 的 TLS 连 接 是 如 何 被 攻破 的 。 在 重新 协商 之 前 ， 发 往 目标 
服务 器 的 数据 是 由 攻击 者 发 出 的 , 之 后 的 数据 是 由 经 过 身份 验证 的 受害 者 发 出 的 ,而 目标 服务 顺 
却 无 法 进行 区 分 。 这 种 攻击 机 会 类 似 于 原始 的 不 安全 重新 协商 漏洞 。 最 简单 的 攻击 方法 就 是 在 目 
标 网 站 上 以 受害 者 身份 执行 一 个 请 求 ， 例 如 转账 。 

然而 ， 这 个 攻击 向 量 不 是 很 容易 被 利用 。 第 一 ， 攻 击 者 要 能 发 现 应 用 程序 中 合适 的 进入 点 ， 
并 为 每 个 请 求 设计 负载 。 第 二 ， 因 为 在 重新 协商 之 后 丢失 了 数据 可 见 性 ， 就 无 法 了 解 到 攻击 的 结 
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果 并 在 同一 个 连接 上 展开 后 续 攻 击 。 攻 击 者 可 以 展开 另外 的 攻击 ,但 是 在 TLS 层 上 进行 此 操作 是 
令 人 泪 来 的 ， 并 且 非 常 缓慢 。 

这 里 有 另外 一 个 可 能 更 加 危险 的 攻击 向 量 。 因 为 攻击 者 可 以 在 重新 协商 之 前 向 两 边 发 送 任意 
数据 ， 攻 击 者 就 可 以 完全 控制 受害 者 的 浏览 需 。 毕 竞 ， 受 害 者 是 在 访问 攻击 者 制造 的 恶意 网 站 。 
这 人 允许 攻击 者 向 受害 者 的 浏览 器 中 注入 恶意 JavaScript 脚 本 。 在 经 过 重新 协商 和 身份 验证 之 后 , 恶 
意 脚本 可 以 从 浏览 器 向 目标 网 站 提交 不 受 限制 的 HTTP 请 求 ( 这些 请 求全 部 都 在 受害 者 的 身份 之 
下 ) 并 且 可 以 随意 获取 结果 。 

一 般 来 说 ,浏览 器 不 允许 一 个 网 站 向 其 他 网 站 提交 数据 。 在 这 种 情况 下 ， 所 有 的 通信 都 发 生 
在 攻击 者 的 恶意 网 站 的 上 下 文中 。 数 据 之 后 才 被 转 到 目标 网 站 ,所 以 从 浏览 絮 的 角度 来 看 , 数据 
提交 到 了 同一 个 网 站 。 

上 述 第 二 种 攻击 向 量 本 质 上 是 一 个 钓鱼 攻击 , 并 使 用 了 三 次 握手 攻击 来 处 理 要 求 客 户 端 身份 
验证 的 问题 。 这 是 一 个 非常 有 力 的 攻击 形式 , 只 受 限 于 攻击 者 的 编程 水 平 以 及 尽 可 能 长 时 间 地 将 
受害 者 留 在 恶意 网 站 上 的 能 


7.6.3 先决 条 件 


三 次 握手 攻击 十 分 复杂 ， 只 能 在 某 些 场景 下 成 功 实施 。 在 利用 这 些 漏洞 之 前 ， 有 两 个 方面 的 
问题 需要 处 理 。 
第 一 个 是 这 种 攻击 只 能 用 在 要 求 使 用 客户 端 证 书 的 网 站 上 。 如 果 不 是 这 样 ， 就 无 法 进行 身份 
仿冒 。 第 二 个 方面 更 有 趣 。 因 为 攻击 是 一 种 钓鱼 的 形式 , 受害 者 必须 愿意 在 某 个 他 们 不 常 使 用 的 
网 站 上 使 用 他 们 的 证 书 。 我 情愿 认为 这 种 情况 不 太 可 能 发 生 ， 但 是 实际 上 并 非 如 此 。 

关于 如 何 将 用 户 引 导 到 恶意 网 站 , 使 用 社会 工程 学 方法 或 者 电子 邮件 总 是 能 成 功 , 这 与 其 他 
的 钓鱼 攻击 类 似 。 基 于 攻击 者 的 位 置 ， 他 也 可 能 将 明文 的 HTTP 请 求 重 定 向 到 恶意 网 站 。 然 而 ， 
这 可 能 会 引起 用 户 的 警觉 ， 因 为 他 们 将 毫 无 防备 地 跳 转 到 一 个 陌生 的 网 站 。 

基于 很 少 网 站 使 用 客户 端 证 书 校 验 , 实际 发 生 的 三 次 握手 攻击 的 量 并 不 大 , 这 一 点 与 原始 的 
重新 协商 问题 是 不 一 样 的 。 从 另外 一 个 方面 来 说 , 使 用 客户 端 身份 验证 的 网 站 都 是 信息 十 分 敏感 
的 业务 ， 所 以 这 种 攻击 手段 一 般 不 会 在 微不足道 的 犯罪 场景 下 使 用 。 




































































































































































7.6.4 缓解 方法 
引发 三 次 握手 攻击 的 核心 问题 在 于 TLS 协 议 ， 这 使 得 TLS 协 议 是 解决 问题 的 最 佳 层 面 。 对 协 
议 的 相关 调整 工作 正在 进行 ， 新 的 方法 在 握手 和 主 密 钥 "以 及 会 话 恢复 之 间 进 行 了 更 强 的 绑 定 2。 
短期 来 看 , 浏览 器 厂商 采取 了 一 些 措施 , 他 们 将 软件 修改 成 如 果 重 新 协商 之 后 的 证 书 与 之 前 














QD TLS Session Hash and Extended Master Secret Extension, https://datatracker.ietf.org/doc/draft-bhargavan-tls-session-hash/ 
( Bhargavan 等 ，2014 年 4 月 )。 

© TLS Resumption Indication Extension, http://datatracker.ietf.org/doc/draft-bhargavan-tls-resumption- indication/ ( Bhargavan 
等 ，2014 年 4 月 )。 
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的 不 同 ， 则 断 开 连 接 。 同 样 ， 退 化 的 DH 公 钥 将 不 再 被 接受 。 当 然 ， 这些 手 段 都 是 在 比较 新 的 浏 
览 器 版 本 中 才 有 。 老 的 了 正 浏 览 器 也 是 安全 的 ， 因 为 Microsoft 对 系统 的 SSL 库 进行 了 修正 ， 不 仅仅 
是 针对 浏览 
除了 浏览 器 的 改进 之 外 , 还 有 一 些 残 留 的 攻击 向 量 可 以 在 某 些 情况 下 被 利用 来 进行 攻击 ( 当 
不 使 用 证 书 的 时 候 ): SASL、PEAP 和 Channel ID 。 除 非 协 议 进行 修改 ， 否 则 这 些 都 无 法 解决 。 
如 果 可 能 , 我 建议 你 在 服务 器 端 采取 一 些 措施 来 最 小 化 风险 。 最 新 的 浏览 器 没有 问题 , 但 是 
依然 有 很 多 用 户 在 使 用 老 版 本 的 浏览 器 ， 这 就 容易 被 攻击 。 考 虑 以 下 这 些 方法 。 
口 对 所 有 访问 要 求 客户 端 证 书 
如 果 全 站 的 所 有 访问 均 要 求 客户 端 证 书 ， 那 攻击 者 首次 对 目标 网 站 的 访问 也 需要 提供 证 
书 。 具 体 的 情况 还 取决 于 攻击 者 是 否 能 很 容易 获取 到 客户 端 证 书 ， 但 是 仅 考虑 此 方法 本 
身 ， 是 可 以 降低 攻击 风险 的 。 
口 禁用 重新 协商 
攻击 展开 的 强 依赖 是 要 进行 重新 协商 。 然 而 ， 重 新 协商 同样 是 与 客户 端 身份 验证 一 起 使 
用 的 。 例 如 ， 某 个 网 站 允许 任何 人 访问 首页 ， 但 是 要 求 只 有 经 过 身份 验证 才能 访问 某 个 
子 目录 。 如 果 这 种 业务 结构 可 以 改变 ， 那 么 就 不 会 有 重新 协商 ， 也 不 会 产生 攻击 了 。 
口 只 启用 ECDHE 套 件 
ECDHE 套 件 不 受 此 攻击 威胁 。 基 于 所 有 现代 浏览 器 都 支持 ECDHE， 如 果 用 户 群 体 较 小 并 
日 不 使 用 老 旧 浏览 器 (主要 是 Android 2.x 和 Windows XP 上 的 IE )， 禁 用 易 受 攻击 的 密 钥 交 
换 (DHE 和 RSA ) 也 许 是 男 外 一 个 不 错 的 选择 。 不 过 这 个 方法 不 适合 用 户 群 多 样 性 强 的 
情况 。 





































































































7.7 POODLE 


2014 年 10 月 ，Google 安 全 团队 公布 了 POODLE ( Padding Oracle On Downgraded Legacy 
Encryption )， 这 是 一 个 SSL 3 中 的 漏洞 ， 可 以 让 攻击 者 破解 小 段 的 加 密 数 据 。™ 

造成 这 个 问题 的 根本 原因 是 CBC 模 式 在 设计 上 的 缺陷 , 具体 来 说 就 是 CBC 只 对 明文 进行 了 身 
份 验证 , 但 是 却 没有 对 填充 字 节 进行 完整 性 校 验 。 这 使 得 攻击 者 可 以 对 填充 字 节 进行 修改 并 利用 
填充 预示 来 恢复 加 密 内 容 。 我 在 本 章 前 面部 分 讨论 过 这 个 话题 .如果 你 对 填充 预示 攻击 还 不 了 解 ， 
我 建议 你 在 继续 阅读 本 节 之 前 ， 先 阅读 7.4 节 。 

让 POODLE 攻 击 成 为 可 能 的 原因 是 SSL 3 中 过 于 松散 的 填充 结构 和 校 验 规则 ， 但 是 这 些 问 题 
在 TLS 1.0 和 以 后 的 版 本 中 被 修复 了 。 你 可 以 在 图 7-11 中 发 现 两 者 的 不 同 之 处 。 



































Q This POODLE bites: exploiting the SSL 3.0 fallback, http://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle- 
bites-exploiting-ssl-30.html ( Google Security Team，2014 年 10 月 14 日 )。 
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图 7-11 SSL 3.0 和 TLS 1.0+ 中 填充 的 对 比 















































SSL 3 的 填充 方式 是 保留 密 文 的 最 后 一 字 节 ， 并 填写 填充 长 度 ， 但 是 并 没有 规定 具体 的 填充 
数据 应 该 如 何 构建 。 重 要 的 是 , 没有 规定 校 验 规 则 来 确认 填充 数据 是 否 被 算 改 过 。 也 就 是 说 , SSL 
3 的 填充 具有 不 确定 性 。 在 TLS 1.0 以 及 之 后 的 版 本 中 ， 发 送 方 必须 在 填充 空间 中 填 满 与 填充 的 长 
度 值 相 同 的 字 节 。 接 收 方 在 解密 之 后 立即 校 验 填充 。 如 果 填 充 长 度 与 所 有 的 填充 字 节 不 同 ,， 会 认 
为 整个 加 密 块 无 效 而 将 其 丢弃 。 

进行 POODLE 攻 击 ， 攻 击 者 必须 能 在 不 影响 MAC 或 者 改变 其 他 明文 的 情况 下 修改 填充 。 这 
就 是 说 要 重新 安排 明文 数据 使 得 最 后 一 个 完整 的 加 密 块 都 是 填充 字 节 。 这 是 必要 的 , 因为 攻击 者 
看 见 的 都 是 密 文 , 无 法 直接 修改 填充 字 节 。 因为 分 组 加 密 的 特点 , 即使 在 密 文 中 任何 一 位 的 修改 ， 
都 会 使 得 几乎 一 半 的 数据 在 解密 之 后 发 生变 化 。 然 而 ， 如 果 最 后 整个 数据 块 都 是 填充 数据 ,攻击 
者 就 可 以 进行 任意 的 修改 而 不 会 导致 MAC 校 验 失败 。 

我 们 来 假设 攻击 者 进行 了 一 个 小 的 修改 。 因 为 这 个 修改 会 导致 解密 之 后 产生 大 量变 化 , 解密 
之 后 的 内 容 会 变 成 随机 内 容 。 然 而 ， 由 于 SSL 3 中 松散 的 填充 校 验 ,填充 中 的 字 节 并 不 会 被 检查 ， 
只 有 最 后 的 填充 长 度 字 节 必须 正确 。 在 实际 中 ， 这 意味 着 每 236 次 探测 ， 就 会 有 一 次 被 服务 需 接 
受 ， 无 论 其 中 的 修改 是 什么 。 

攻击 者 可 以 利用 这 个 特性 来 干什么 ”他 无 法 直接 破解 出 任何 明文 , 但 是 他 知道 他 的 修改 在 什 
么 时 候 被 接受 了 , 最 后 一 字 节 在 加 密 之 后 得 到 了 正确 的 填充 长 度 。 这 字 节 的 值 和 填充 的 最 大 程度 
相等 ， 即 对 于 16 字 节 块 大 小 来 说 是 15( 例如 AES )， 对 于 8 字 节 块 大 小 来 说 是 7 ( 例如 3DES )。 
此 ,他 得 到 了 一 个 预示 : 他 刚刚 找到 了 实施 攻击 的 办 法 。 为 此 ,他 可 以 检测 CBC 结 构 的 细节 《如 
图 7-12 所 示 )。 
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图 7-12 CBC 加 密 和 解密 








在 进行 加 密 之 前 , 一 块 数据 首先 要 与 IV 进 行 异 或 , IV 本 质 上 就 是 一 块 随机 数据 。 然 而 , 虽然 
IV 是 随机 的 ,但 是 攻击 者 可 以 知道 从 第 二 个 块 开始 的 IV 值 。” 
为 了 简单 明了 ， 我 们 把 焦点 集中 到 攻击 者 的 目标 明文 上 : 






































E(P,[15] @C-l[15])=Ci[15] 








昌 然 两 个 加 密 字 节 都 是 已 知 的， 但 是 攻击 者 也 无 法 还 原 出 明文 ， 因 为 他 不 知道 密 钥 。 

现在 来 考虑 逆向 过 程 。 首 先进 行 解密 操作 ,之 后 对 解密 的 结果 使 用 正确 的 IV( 前 一 个 加 密 块 
的 密 文 ) 进行 异 或 操作 。 同 样 ， 攻 击 者 知道 密 文 ， 因 为 这 可 以 从 网 络 上 观察 到 。 因 为 SSL 3 的 缺 
陷 ， 他 同时 知道 数据 块 的 最 后 一 字 节 寞 或 之 后 的 值 是 15。 这 就 足够 进行 攻击 了 : 











D(C{15D ® Cl[15]= 15 
D(C[15]) = 15 ® Ci[15] 
P[15] ® C15] = 15 @ C, [15] 
Pi[15] = 15 ® Ci[15] ® Ci[15] 


因此 ， 当 猜测 正确 的 时 候 ， 攻 击 者 仅 需要 两 次 异 或 操作 就 可 以 获取 到 1 字 节 的 明文 数据 。 























在 SSL3 中 ， 连 接 上 的 第 一 个 IV 块 是 从 主 密 钥 导出 的 ， 攻 击 者 不 知道 它 的 值 。 然 而 ， 所 有 后 续 的 IV 块 都 是 可 知 的 ， 
因为 它们 在 CBC 的 链 中 ， 当 前 块 的 IV 就 是 前 一 个 加 密 块 的 内 容 。 
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7.7.1 实际 攻击 


在 这 种 情况 下 ， 与 最 近 发 生 的 针对 SSLATLS 的 类 似 攻击 一 样 ，POODLE 也 要 求 进行 复杂 的 设 
置 : 攻击 者 必须 对 受害 者 的 浏览 器 有 足够 的 控制 权 才 能 向 目标 服务 器 提交 任意 数据 。 此 外 ,他 还 
得 能 控制 网 络 以 便 与 浏览 器 中 的 操作 相互 协调 。 这 种 技术 最 早 在 BEAST 攻 击 中 被 发 明 , 后 来 被 其 
他 攻击 方法 所 使 用 。 

每 一 次 攻击 尝试 都 包括 由 浏览 器 发 出 的 原始 请 求 和 攻击 者 蔡 换 掉 的 密 文 的 最 后 一 字 节 。 这 种 
行为 会 不 断 重复 直到 猜测 正确 ， 此 时 已 经 可 以 破解 1 字 节 的 明文 。 攻 击 者 于 是 开始 进行 下 一 字 节 
的 攻击 。 

在 每 个 请 求 内 , 攻击 者 必须 要 影响 待 破 解 字 节 的 位 置 并 且 控 制 填充 以 使 得 填充 能 消耗 掉 最 后 
一 整个 加 密 块 。 这 也 就 是 说 需要 有 在 待 破解 数据 前 后 都 注入 数据 的 能 力 。 在 实际 中 ,这 个 可 以 通 
过 使 用 PoST 请 求 并 操作 URL 和 请 求 体 来 实现 。 

下 面 这 个 例子 展示 了 一 个 在 加 密 之 前 的 TLS 记 录 : 应 用 层 数据 在 最 开始 处 ， 之 后 跟随 的 是 
MAC (M )， 然 后 是 填充 (padding，P )， 最 后 是 填充 长 度 。 带 破解 数据 是 会 话 ID ， 存 放 于 名 为 
]SESSIONID 的 Cookie 里 。 就 像 要 求 的 那样 ，Cookie 的 第 一 字 节 是 加 密 块 数据 的 最 后 一 字 节 。 


00000000 50 4f 53 54 20 2f 61 61 61 61 20 48 54 54 50 2f |POST /aaaa HTTP/ 
00000010 31 2e 30 0d 0a 48 6f 73 74 3a 20 65 78 61 6d 70 |1.0..Host: examp 
00000020 6c 65 2e 63 6f 6d 0d 0a 43 6f 6e 74 65 6e 74 2d |le.com..Content- 
00000030 4c 65 6e 67 74 68 3a 20 31 32 0d 0a 43 6f 6f 6b |Length: 12..Cook 
00000040 69 65 3a 20 4a 53 45 53 53 49 4f 4e 49 44 3d 42 |ie: JSESSIONID=B 
00000050 33 44 46 34 42 30 37 41 45 33 33 43 41 0d 0a 0d 3DF4BO7AE33CA... 
00000060 0a 30 31 32 33 34 35 36 37 38 39 41 4d 4d 4d 4d .0123456789AMMMM 
00000070 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d 4d |MMMMMMMMMMMMMMMM 
00000080 50 50 50 50 50 50 50 50 50 50 50 50 50 50 50 of PPPPPPPPPPPPPPP . 


得 到 正确 的 URL 和 请 求 体 长 度 对 于 第 一 次 尝试 来 说 是 不 太 容 易 的 , 因为 填充 隐藏 了 明文 的 真 
实 长 度 。 这 可 以 通过 每 次 改变 1 字 节 的 负载 长 度 并 观察 加 密 后 的 变化 来 解决 。 例 如 ， 假 设 提 交 的 
数据 如 前 例 所 示 , 从 URL 中 移 除 1 字 节 将 会 将 填充 长 度 从 15 更 改 为 0, 从 而 将 总 体 已 加 密 文 本 的 长 
度 降 低 了 一 整 块 的 长 度 (16 字 节 )。 一 旦 这 个 现象 发 生 了 ， 攻 击 者 就 可 以 知道 确切 的 填充 长 度 。 

在 这 之 后 ， 事 情 就 变 得 容易 了 。 猜 测 成 功 之 后 ， 通 过 将 URL 减 少 1 字 节 ， 并 将 请 求 体 增加 1 
字 节 ， 从 而 使 得 Cookie 中 下 一 字 节 满足 攻击 条 件 。 

因此 ， 整 个 攻击 将 按照 以 下 方式 展开 : (1) 攻击 者 以 一 个 大 的 URL 和 一 个 小 的 请 求 体 展 开 攻 
击 ; (2) 缩 短 URL， 每 次 1 字 节 ， 直 到 找到 正确 的 填充 长 度 ; (3) 提交 足够 多 次 的 猜测 以 破解 1] 字 节 
的 数据 ; (4) 通过 同步 改变 URL 和 请 求 体 的 大 小 来 循环 破解 其 余 字 节 。 

一 个 典型 的 会 话 ID 可 能 包括 16~32 字 节 , 但 是 我 们 假设 攻击 者 需要 破解 100~200 字 节 , 因为 他 
不 知道 Cookie 的 精确 长 度 。 每 256 个 请 求 就 可 以 破解 1 字 节 的 速度 ,这 将 是 本 章 中 所 讨论 的 密码 学 
攻击 中 效率 最 高 的 攻击 之 一 了 。 
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7.7.2 ”影响 


鉴于 SSL 3 已 经 有 20 个 年 凑 了 ， 并 且 几 乎 所 有 服务 器 都 支持 TLS 1.0， 你 可 能 会 认为 POODLE 
不 会 造成 太 大 的 和 危害。 毕竟 从 SSL 3 开始 协议 本 身 存在 内 在 的 防御 降级 攻击 的 办 法 。 那 么 是 否 每 
个 人 都 使 用 最 好 协议 来 进行 握手 呢 ? 不 幸 的 是 , 这 只 是 理论 上 成 立 。 在 实际 中 , 所 有 的 主流 浏览 
器 都 设计 成 了 在 连接 或 者 TLS 握 手 失败 的 时 候 进行 协议 降级 。 这 样 一 来 ， 当 POODLE 被 公布 的 时 
候 ， 几 乎 所 有 的 浏览 器 都 可 以 被 降级 成 SSL3 ， 即 使 网 站 支持 更 高 版 本 的 协议 。 我 在 6.6 节 中 详细 
介绍 了 这 个 问题 。 

伴随 着 协议 降级 , POODLE 攻 击 变 得 相对 容易 执行 , 但 它 同时 也 要 求 攻击 者 具备 足够 的 经 验 
并 是 距离 受害 者 较 近 。 与 其 他 同时 使 用 控制 浏览 器 和 网 络 手段 的 攻击 方法 一 样 , POODLE 攻 击 的 
目标 就 是 窃取 小 但 是 有 价值 的 信息 ， 典 型 的 就 是 Cookie 值 或 者 密码 。 这 个 门槛 使 得 POODLE 攻 击 
一 般 只 会 针对 高 价值 的 网 站 展开 。 一 次 成 功 的 会 话 Cookie 窃 取 可 以 让 攻击 者 仿 骨 受害 者 的 身份 并 
使 用 此 身份 展开 一 切 其 他 的 行动 。 




































































POODLE TLS 

虽然 TLS 1.0 在 填充 结构 方面 进行 了 改进 ， 但 是 在 2014 年 12 月 被 发 现 POODLE 也 会 影响 使 
用 TLS 的 应 用 程序 和 设备 *。 问 题 没有 出 在 协议 上 ， 而 是 出 在 了 实现 上 。 看 起 来 是 一 些 开 发 人 
员 在 进行 SSL3 到 TLS 的 转换 的 时 候 ， 没 有 遵守 协议 规定 的 填充 要 求 ， 使 得 他 们 的 实现 容易 受 
到 POODLE 攻 击 的 威胁 。 至 少 在 几 个 案例 中 ， 在 很 多 产品 使 用 的 硬件 加 速 卡 中 发 现 了 漏洞 。 

根据 SSL Pulse 的 数据 ， 在 2014 年 12 月 ， 有 大 约 10% 的 服务 器 受到 POODLE TLS 威 胁 。 在 
威胁 被 发 现 几 个 月 之 后 , 我 们 仍然 不 知道 是 否 已 经 了 解 了 全 部 受 威 胁 的 产品 ”。 最 好 的 做 法 就 
是 使 用 菜 个 SSL/TLS 服 务 器 测试 工具 对 你 的 基础 设施 进行 检测 。 











7.7.3 缓解 方法 


面 对 一 个 老 旧 协议 的 严重 漏洞 , 浏览 器 厂商 决定 不 采取 任何 应 对 措施 , 反而 希望 能 利用 此 机 
会 加 速 SSL 3 的 退役 。 最 初 的 方法 是 减 小 攻击 面 。Chrome 、Firefox 和 IE 禁止 回 退 到 SSL 3。Safari 
保留 了 这 个 回 退 , 但 是 在 这 种 情况 下 禁用 了 所 有 的 CBC 模 式 的 算法 。 从 那 之 后 ，Chrome 和 Firefox 
都 禁用 了 SSL 3 ( 版 本 分 别 是 40 和 34 )。2015 年 4 月 ，IE11 也 通过 升级 禁用 了 SSL 3。 
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QD Poodle Bites TLS, http://blog.ivanristic.com/2014/12/poodle-bites-tls.html ( Ivan Ristié ，2014 年 12 月 8 日 )。 
© There are more POODLEs in the forest, https://vivaldi.net/en-US/blogs/entry/there-are-more-poodles-in-the-forest( Yngve 
Pettersen，2015 年 7 月 14 日 )。 
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TLS_FALLBACK_SCSV, 浏览 器 可 以 通过 它 通 知 服务 器 自己 被 降级 了 。 可 以 理解 这 个 套件 
的 服务 器 就 可 以 基于 此 对 连接 进行 阻 断 ， 从 而 防止 攻击 发 生 。Google 从 Chrome 33 开 
始 支持 这 个 特性 。" Firefox 从 35 版 本 开始 支持 "。 这 是 一 个 针对 协议 降级 攻击 的 长 期 手 
段 ， 但 是 与 解决 POODLE 关 系 不 大 。 支 持 这 个 特性 的 浏览 器 都 已 经 禁用 了 SSL 3， 而 
只 支持 SSL 3 的 老 旧 浏览 器 不 支持 此 特性 。 此 外 ，IE 浏 览 器 团队 指出 他 们 不 会 支持 这 
个 特性 ”。 

















最 好 的 防御 这 个 攻击 的 方法 就 是 彻底 禁用 SSL 3。 很 多 公司 ,包括 一 些 很 大 的 公司 ( 比如 
Amazon ) 已 经 在 这 么 做 了 。 在 某 些 情况 下 ， 这 可 能 会 影响 用 户 访问 你 网 站 的 可 用 性 。 例 如 ,在 
Windows XP 上 的 IE6 默 认 不 支持 TLS 1.0, 虽然 可 以 通过 配置 启用 。 如 果 你 认为 你 无 法 禁用 SSL 3 ， 
那么 可 以 通过 只 使 用 RC4 来 避免 POODLE 攻 击 , 但 是 这 种 行为 又 带 来 了 男 外 的 糟糕 问题 ,因为 RC4 
已 经 超期 服役 很 人 了 。 

应 该 注意 的 是 ， 虽 然 所 有 支持 SSL 3 的 服务 器 会 受到 POODLE 威 胁 ,但 是 由 于 成 功 的 攻击 需 
要 进行 交互 ， 这 就 意味 着 在 客户 端 方面 ， 只 有 浏览 器 才 可 能 受到 威胁 。 其 他 的 客户 端 和 非 HTTP 
的 协议 可 能 不 会 有 任何 问题 。 然 而 ， 你 不 应 该 让 这 种 情况 减 慢 你 剔除 SSL 3 支持 的 步伐 。 业 界 对 
于 废弃 SSL3 有 很 高 的 呼声 。 例 如 ，PCI 委 员 会 计划 在 PCIDSS 3.1 中 完全 废弃 SSL3"。 一 个 新 的 禁 
止 SSL 3 使 用 的 RFC 也 已 经 准备 公布 2。 
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Bullrun ( 或 者 写作 BULLRUN ) 是 美国 国家 安全 局 (National SecurityAgency，NSA ) 运行 的 
一 个 机 密 计划 的 代号 。 该 计划 的 主要 目的 是 使 用 任何 可 能 的 手段 破解 加 密 通 信 。 一 个 最 可 能 成 功 
的 办 法 就 是 直接 针对 服务 器 进行 攻击 。 如 果 你 能 获得 服务 器 的 私 钥 , 也 就 不 用 再 研究 加 密 通信 如 
何 进行 破解 了 。 对 我 们 来 说 很 感 兴趣 的 一 点 是 ,此 计划 的 一 种 手段 是 降低 产品 和 安全 的 标准 。 下 
面 是 一 个 泄露 的 绝密 文件 中 的 一 份 预 算 草 案 中 的 一 段 话 *。 


对 商用 公 钥 密码 技术 的 策略 、 标 准 和 规范 施加 影响 。 
























































GTLS Symmetric Crypto, https:/www.imperialviolet.org/2014/02/27/tlssymmetricerypto.html ( Adam Langley，2014 年 2 
月 27B )。 

©® The POODLE Attack and the End of SSL 3.0, https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end- 
of-ssl-3-0/( Mozilla Security Blog，2014 年 10 月 14 日 )。 

@) Internet Explorer should send TLS FALLBACK SCSV, https://connect.microsoft.com/IE/feedback/details/1002874/ 
internet-explorer-should-send-tls-fallback-scsv (IE Feedback Home， 检 索 于 2015 年 3 月 16 日 )。 

由 PCI SSC bulletin on impending revisions to PCI DSS, PA-DSS, http://training.pcisecuritystandards.org/pci-ssc-bulletin- 














on-impending-revisions-to-pci-dss-pa-dss-assessor ( PCI Council，2015 年 2 月 13 日 )。 
© RFC 7568: Deprecating Secure Sockets Layer Version 3.0，https://tools.ietf.org/html/rfc7568 ( Barnes 等 ，2015 年 6 月 )。 
© Secret Documents Reveal N.S.A. Campaign Against Encryption, http:/www.nytimes.com/interactive/2013/09/05/us/ 














documents-reveal-nsa-campaign-against-encryption.html (《 纽 约 时 报 》 2013 年 9 月 5 日 )。 
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《纽约 时 报 》 称 , NSA 每 年 会 花费 大 约 2.5 亿 美元 来 做 这 些 事情 。 英 国 的 GCHQ" 也 有 自己 类 似 
的 计划 来 对 加 密 进行 破解 ， 计 划 代号 Edgehill?。 

作为 一 个 最 主要 的 安全 协议 ,TLS 很 明显 是 这 些 计划 的 目标 。Bullrun 的 公开 披露 使 得 很 多 人 
以 完全 不 同 的 眼光 来 看 待 协议 标准 的 开发 过 程 。 如 果 连 制定 标准 的 人 我 们 都 不 信任 的 话 , 我 们 如 
何 能 信任 这 些 标准 ? 


双 椭 圆 曲线 确定 性 随机 位 生成 器 


双 椭 圆 曲 线 确定 性 随机 位 生成 器 ( dual elliptic curve deterministic random bit generator, Dual EC 
DRBG ) 是 一 个 伪 随 机 数 生 成 器 (pseudorandom number generator，PRNG ) 的 算法 ,被 国际 标准 
化 组 织 ( International Organization for Standardization，ISO ) 在 2005 年 的 时 候 标 准 化 为 ISO 18031， 
被 美国 国家 标准 与 技术 研究 院 ( National Institute of Standards and Technology，NIST ) 在 2006 年 标 
准 化 ”。 

在 2007 年 ， 两 个 研究 人 员 发 现 该 算法 中 存在 一 个 可 能 的 后 门 *"， 但 是 他 们 的 发 现 没 有 引起 足 
够 的 关注 。 

当 2013 年 9 月 , Bullrun 计 划 公 诸 于 世 的 时 候 , Dual EC DRBG 被 暗示 为 是 NSA 留 的 后 门 。 同月， 
NIST 发 布 公告 来 废除 该 算法 ”。 

NIST 强 烈 建议 ， 停 止 对 SP 800-90A 的 安全 考虑 和 重新 签发 的 决议 ， 同 时 ， 在 2012 

年 1 月 份 版 本 的 SP 800-90A 中 定义 的 Dual EC DRBG 算 法 ， 也 不 再 继续 使 用 。 


在 2013 年 , 路 透 社 报道 NSA 向 RSA Security 公 司 支付 了 1000 万 美元 款项 , 使 得 RSA 公 司 将 Dual 
EC DRBG 作 为 他 们 的 TLS 实 现 ( BSAFE 中 的 默认 随机 数 生成 算法 )”。 其 他 的 TLS 实 现 也 将 Dual EC 
DRBG 作 为 可 选项 ( 主要 是 为 了 FIPS 140-2 验 证 ), 但 是 据 我 们 所 知 ， 并 没有 默认 启用 。OpenSSL 
中 的 相关 实现 被 发 现存 在 问题 ， 因 而 实际 上 无 法 使 用 ”。 

也 许 你 会 问 ， 这 将 会 如 何 影响 TLS? 在 密码 学 领域 ， 所 有 安全 性 都 依赖 于 随机 数 生 成 的 质量 
好 坏 。 历 史上 我 们 遇见 过 很 多 在 这 里 出 问题 的 实现 ， 具 体 可 以 参考 6.2 节 。 如 果 你 能 攻破 某 人 的 
随机 数 生 成 器 ， 那么 就 有 机 会 攻破 其 他 任何 东西 。TLS 协 议 要 求 客户 端 和 服务 器 各 自发 送 28 字 节 













































































中 英国 政府 通讯 总 部 ， 类 似 NSA 的 情报 机 构 。 一 一 译 者 注 

© Revealed: how US and UK spy agencies defeat internet privacy and security, http://www.theguardian.com/world/2013/sep/ 
05/nsa-gchq-encryption-codes-security (《 卫 报 》 2013 年 9 月 6 日 )。 

@@Dual EC _DRBG，https://en.wikipedia.org/wiki/Dual EC_ DRBG ( 维基 百科 ， 检 索 于 2014 年 4 月 3 日 )。 

人 由 On the Possibility ofaBack Doorin the NIST SP800-90 Dual Ec Prng, http://rump2007.cr.yp.to/15-shumow.pdf( Shumow 
和 Ferguson，2007 年 8 月 )。 

@ SUPPLEMENTAL ITL BULLETIN FOR SEPTEMBER 2013, http://csrc.nist.gov/publications/nistbul/itlbul2013_ 
09_supplemental.pdf ( 美国 国家 标准 与 技术 研究 院 ，2013 年 9 月 )。 

© Exclusive: Secret contract tied NSA and security industry pioneer, http:/www.reuters.com/article/2013/12/20/us-usa- 
security-rsa-idUSBRE9BJ1C220131220 ( 路 透 社 ，2013 年 12 月 20 日 )。 

© Flaw in Dual EC DRBG (no, not that one) ( Steve Marquess，2013 年 12 月 19 日 )。 
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的 随机 数据 作为 握手 的 一 部 分 , 这 些 数据 会 参与 主 密 钥 的 生成 , 而 主 密 钥 用 来 保护 整个 TLS 会 话 。 
如 果 你 能 在 随机 数 生 成 器 里 安插 后 门 , 那 这 28 字 节 可 能 足够 用 来 揭示 生成 器 的 运行 状态 , 并 在 随 
后 协助 破解 TLS 会 话 。 

2014 年 , 研究 人 员 演 示 了 Dual EC DRBG 确 实 可 以 当成 后 门 使 用 ", 虽然 他 们 无 法 证 明 这 是 有 
意 的 后 门 。 与 此 同时 ,一 个 非 标 准 的 TLS 扩 展 ， 在 NSA 的 要 求 下 ， 在 BSAFE 中 得 到 了 实现 ， 用 于 
在 一 个 TLS 连 接 上 从 随机 数 生成 器 中 暴露 更 多 的 数据 ”。 

随 着 更 多 的 随机 数据 暴露 给 攻击 者 ， 攻 破 TLS 连 接 会 容易 65 000 倍 。 














QD On the Practical Exploitability of Dual EC in TLS Implementations ，http://dualec.org/( Checkoway 等 ，2014 年 )。 
© Extended Random, https://projectbullrun.org/dual-ec/ext-rand.html ( projectbullrun.org， 检索 于 2014 年 7 月 16 日 )。 








部 署 














前 面 各 章 讲 的 都 是 理论 和 背景 知识 , 本 章 将 把 所 有 内 容 综合 在 一 起 , 给 你 一 些 比较 高 层 的 建 
议 , 即 关于 TLS 服 务 安 全 部 署 你 应 该 了 解 的 所 有 知识 。 可 以 这 人 么 理解 , 本 章 是 整 本 书 的 一 个 地 图 ， 
当 你 阅读 到 一 些 地 方 并 需要 了 解 细节 时 ,可 以 参阅 书 中 相关 章节 的 具体 内 容 。 当 你 觉得 已 经 掌握 
了 所 有 知识 后 想 加 以 实践 时 ， 可 以 阅读 后 面 关于 平台 配置 实践 的 章节 。 

学 习 本 章 时 最 好 与 第 9 章 一 起 阅读 。 本 章 会 有 很 多 性 能 方面 的 建议 , 而 第 9 章 则 是 更 具体 的 配 
置 和 说 明 ， 可 以 快速 应 用 在 你 自己 的 网 站 部 署 中 。 


























8.1 ” 密 钥 


私 钥 是 TLS 安 全 的 基石 ， 为 私 钥 选 择 恰当 的 密 钥 算法 和 长 度 ，TLS 可 以 提供 高 强度 的 安全 性 
(在 现 有 计算 条 件 下 需要 很 多 年 才能 被 破解 )。 实际 上 , 抛 开 数学 方面 的 考虑 ( 位 数 越 高 越 安 全 )， 
TLS 最 大 的 弱点 在 于 密 钥 的 管理 ， 或 者 说 如 何 保护 私 钥 的 私密 性 。 


8.1.1 密 钥 算 法 


目前 TLS 支 持 3 种 算法 ,但 实际 上 只 有 RSA 这 一 种 被 广泛 使 用 ; DSA 已 经 被 废弃 ， 而 ECDSA 
在 未 来 几 年 内 有 望 被 广泛 使 用 。 

口 DSA 
DSA 算 法 很 容易 被 排除 : 因为 DSA 的 密 钥 长 度 最 大 只 能 到 1024 位 ( 正 浏览 器 也 不 支持 更 高 
强度 )， 这 个 位 数 根本 无 法 确保 安全 性 ， 所 以 没有 人 会 在 TLS 实 际 应 用 中 使 用 DSA 算 法 ， 
与 所 有 人 背道而驰 的 结果 是 让 你 陷入 兼容 性 问题 中 。 

口 RSA 
RSA 算 法 是 最 常见 的 一 种 选择 ， 基 本 上 所 有 的 TLS 部 署 都 会 支持 RSA 算 法 。 但 是 ，RSA 在 
2048 位 (最 小 位 数 ) 的 密 钥 下 ， 比 ECDSA 密 钥 在 安全 性 上 更 弱 并 且 性 能 更 差 。 更 糟 的 是 ， 
增加 RSA 密 钥 长 度 是 性 能 消耗 的 增加 并 不 是 线性 的 ， 如 果 你 觉得 2048 位 的 加 密 强 度 不 够 ， 
需要 使 用 更 高 的 位 数 ( 比如 3072 位 ) 的 RSA 密 钥 时 ， 在 性 能 上 就 会 有 极 大 幅度 的 下 降 。 

口 ECDSA 
ECDSA 算 法 是 未 来 的 选择 。256 位 的 ECDSA 密 钥 有 128 位 用 于 安全 加 密 上 ,相对 而 言 , 2048 
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位 的 RSA 密 钥 只 有 112 位 是 真正 用 于 安全 加 密 的 。 不 仅 如 此 ， 在 这 个 加 密 强 度 下 ,ECDSA 
比 RSA 算 法 快 2 倍 ; 如 果 是 与 3072 位 的 RSA 密 钥 在 相同 加 密 强 度 下 相 比 ，ECDSA 性 能 要 快 
6 倍 以 上 。? 

为 椭圆 曲线 (elliptic curve, EC ) 算 法 是 最 近 才 被 加 入 到 TLS 的 安全 体系 中 , 所 以 ECDSA 
的 问题 在 于 : 不 是 所 有 用 户 端 都 支持 这 种 算法 。 新 的 浏览 器 都 支持 ECDSA ， 但 是 一 些 老 
版 本 的 浏览 器 是 不 支持 这 个 算法 的 。 你 可 以 通过 同时 部 署 RSA 和 ECDSA 的 密 钥 来 解决 对 
新 老 浏览 器 的 兼容 ， 但 并 不 是 所 有 服务 程序 都 能 提供 这 种 配置 方式 ， 另 外 这 种 方案 也 需 
要 额外 的 工作 来 同时 维护 两 套 密 钥 和 证 书 。 因 此 ， 就 现状 而 言 ，ECDSA 的 最 佳 使 用 场景 
是 用 于 部 署 追 求 最 高 性 能 的 TLS 服 务 系统 。 未 来 ， 随 着 我 们 对 安全 的 日 益 重视 ，ECDSA 


8.1.2 ” 密 钥 长 度 


在 密 钥 长 度 方面 ， 大 部 分 系统 部 署 只 需要 2048 位 RSA 密 钥 或 者 236 位 ECDSA 密 钥 ， 分 别提 供 
112 位 和 128 位 的 加 密 强度 。 也 就 是 说 ， 大 部 分 系统 部 署 可 以 使 用 算法 的 最 低 安 全 密 钥 长 度 ， 因 为 
即使 如 此 系统 也 足以 满足 用 户 的 安全 需求 。 

从 长 期 的 安全 保护 来 说 ， 你 应 该 使 用 至 少 128 位 加 密 强 度 的 安全 密 钥 。 在 这 个 条 件 下 ，256 
位 的 ECDSA 密 钥 是 最 佳 也 最 实用 的 选择 。 如 果 用 RSA 就 必须 使 用 3072 位 密 钥 ， 但 性 能 上 就 差 得 
太 多 。 双 密 钥 部 署 是 一 种 不 错 的 选择 ， 既 可 以 避免 性 能 的 损失 ， 又 能 提供 最 好 的 浏览 器 支持 : 现 
代 浏 览 器 (希望 你 的 客户 群体 都 属于 这 一 类 ) 可 以 使 用 ECDSA 密 钥 ， 而 其 他 用 户 可 以 使 用 较 纶 
的 RSA 密 钥 ， 或 者 是 接受 强 RSA 密 钥 的 性 能 损失 。 

警告 

如 果 你 还 在 使 用 低 于 112 位 加 密 强 度 的 密 钥 ， 比 如 1024 位 的 RSA 密 钥 ， 请 立即 更 新 你 
的 密 钥 。 低 于 112 位 强度 的 密 钥 是 不 安全 的 ， 尤 其 是 512 或 者 768 位 的 RSA 窗 钥 ， 只 需 
要 很 少 的 计算 资源 就 可 以 破解 。 据 评估 ， 玻 解 1024 位 的 RSA 密 钥 的 大 约 成 本 是 100 万 

在 选择 密 钥 长 度 时 ， 可 以 参考 以 下 几 条 来 考量 : (1) 在 当前 的 时 间 点 上 是 否 已 足够 安全 ? (2) 
在 密 钥 过 期 之 前 (有效 期 内 ) 数据 是 否 一 直 能 保持 安全 性 ?” (3) 在 密 钥 过 期 后 ， 数 据 还 能 保持 多 
久 的 安全 性 ? 

























































































































































































8.1.3” 密 钥 管 理 
我 们 已 经 讨论 了 很 多 密 钥 长 度 方面 的 安全 性 , 但 实际 上 密 钥 管理 问题 更 可 能 对 你 的 系统 安全 





























Qa 性 能 对 比 仅 供 参考 ， 因 为 算法 的 实现 在 不 断 改进 ， 例 如 OpenSSL 的 新 版 本 对 常用 场景 中 的 椭圆 曲线 加 密 进行 了 性 
能 优化 。 
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产生 严重 的 影响 。 有 充分 的 证 据 表明 ， 大 部 分 成 功 的 攻击 都 是 绕 过 了 加 密 环节 ,而 不 是 直接 破解 
出 加 密 内 容 。 如果 有 人 能 侵入 你 的 系统 并 拿 到 密 钥 或 者 以 某 种 方式 诱 使 你 公开 了 密 钥 ， 那 他 们 也 
就 不 再 需要 烦恼 于 如 何 暴 力 破解 你 的 加 密 数 据 了 。 
口 保证 私 钥 的 私密 性 
把 你 的 私 钥 作 为 最 重要 的 资产 来 保护 ， 在 条 件 允 许 的 范围 内 ， 只 给 最 少 的 员工 提供 访问 
权限 。 有 些 CA 会 提供 生成 私 钥 的 功能 , 务必 不 要 使 用 这 些 功能 ; 事实 上 这 些 CA 有 必要 提 
高 一 下 自己 的 安全 意识 。 私 钥 的 名 称 已 经 说 明 一 切 ， 无 论 什 么 情况 下 ， 都 必须 保证 私 钥 
的 私密 性 。 
口 仔细 选择 随机 数 生成 器 
密 钥 的 安全 性 依赖 于 计算 机 上 随机 数 生 成 器 (random number generator，RNG ) 的 质量 ， 
密 钥 的 生成 也 离 不 开 随 机 数 生 成 器 。 有 一 种 常见 的 场景 是 在 服务 器 刚 安 装 完 并 重新 启动 
时 完成 了 密 钥 的 生成 ， 但 是 在 这 个 点 上 服务 器 可 能 还 没有 足够 的 随机 信息 〈 业 ) 用 于 生 
成 强 密 钥 。 更 好 的 密 钥 生成 办 法 是 : 使 用 一 个 独立 的 ( 离线 的 ) 服务 器 ， 并 且 确 保 服务 
器 上 已 经 部 署 了 一 个 强壮 的 RNG。 
口 保护 密 钥 的 密码 
密 钥 在 生成 时 都 需要 一 个 密码 用 于 密 钥 创 建 ， 同 时 这 个 密码 也 用 于 保护 密 钥 的 内 容 。 假 
如 你 的 密 钥 备 份 被 窃取 ， 也 无 法 被 直接 用 于 攻击 。 这 同样 也 有 助 于 在 计算 机 之 间 复 制 密 
钥 时 ( 直接 复制 或 者 使 用 U 盘 ) 避免 密 钥 内 容 的 泄露 。 要 知道 ， 从 现代 的 文件 系统 里 真正 
删除 数据 变 得 越 来 越 困 难 了 。 
口 不 要 随意 共享 密 乌 
共享 密 钥 是 非常 危险 的 。 任 意 一 个 系统 被 攻破 ， 被 窃取 的 密 钥 就 可 以 直接 用 于 攻击 其 他 
系统 ， 就 算 这 些 系统 的 证 书 不 同 也 无 法 幸免 。 让 不 同系 统 使 用 不 同 的 密 钥 ， 并 通过 限制 
密 钥 的 访问 ， 只 提供 给 真正 需要 的 用 户 使 用 ， 才 能 保障 内 部 访问 控制 的 安全 。 
口 定期 更 新 密 铀 
你 有 义务 维护 好 私 钥 的 使 用 。 在 创建 密 钥 时 注意 不 要 使 用 过 长 的 有 效 期 ; 发 生 安全 事件 
或 者 核心 员工 离职 时 ， 应 该 更 改 密 钥 并 且 生 成 新 的 证 书 ; 当 你 生成 一 个 新 的 密 钥 时 ， 务 
必 把 旧 的 密 钥 完全 清除 干净 。 尤 其 是 对 于 不 支持 前 向 保密 的 系统 来 说 ， 你 的 密 钥 可 以 用 
于 解密 以 前 所 有 的 通信 。 通 过 安全 地 清除 旧 密 钥 ， 可 以 保证 你 的 对 手 今后 再 也 无 法 用 它 
来 对 付 你 ， 即 使 他 们 还 保存 着 你 的 历史 通信 记录 。 正 常情 况 下 ， 你 应 该 每 年 更 新 一 次 密 
钥 ; 而 对 于 不 支持 前 向 保密 的 系统 (强烈 建议 改进 )， 需 要 更 频繁 地 更 新 密 钥 ， 例 如 每 季 
度 一 次 。 
口 安全 存储 密 铀 
找 一 个 安全 的 地 方 保 存 密 钥 副 本 。 对 于 普通 服务 器 而 言 ， 丢 失 密 钥 并 不 是 什么 大 事情 ， 
因为 你 可 以 重新 生成 一 个 新 密 钥 ; 但 如 果 密 钥 是 中 间或 者 私有 CA 用 来 签发 证 书 的 或 者 用 
于 钉 扎 ， 就 完全 不 一 样 了 。 
这 种 场景 下 使 用 防 算 改 硬件 ( 如 果 成 本 不 是 问题 ) 来 创建 和 保存 私 钥 是 最 安全 的 方案 。 




































































































































































8.2 证 书 215 








这 种 设备 被 称 为 硬件 安全 模块 (hardware security module，HSM )。 使 用 HSM 时 ， 私 钥 永 
远 不 能 脱离 HSM,， 其 至 无 法 用 物理 方式 提取 。 目前 市 场 上 已 经 有 HSM 服 务 " 提 供 ， 如 果 你 
对 安全 非常 关心 并 考虑 使 用 HSM， 注 意 使 用 云 平 台 的 HSM 服 务 目 前 还 是 不 靠 谱 的 。 鉴 于 
我 们 所 知道 的 高 科技 监听 手段 >， 即 使 把 HSM 服 务 部 署 在 内 部 区 域 ， 找 到 一 个 不 会 在 系统 
中 部 署 后 门 的 可 靠 制 造 商 也 很 困难 。 毕 竟 你 一 定 不 想 花 很 多 钱 买 来 一 个 HSM 设 备 ， 最 后 
却 发 现 密 钥 可 以 从 这 个 设备 上 被 他 人 复制 走 。 


8.2 证 书 


在 这 一 节 中 , 我 们 会 来 讨论 证 书 选择 的 内 容 。 证 书 选择 需要 做 很 多 方面 的 考虑 : 包括 使 用 什 
么 类 型 的 证 书 ， 每 个 证 书 需要 包含 哪些 域名 ， 使 用 哪 家 CA 来 签发 证 书 ， 等 等 。 


8.2.1 证 书 类 型 


证 书 主要 有 三 种 类 型 : 域名 验证 (domain validated，DV )、 组 织 验证 (organization validated， 
OV ) 和 扩展 验证 (extended validation，EV )。DV 证 书 的 签发 是 自动 的 ， 通 常 也 是 最 便宜 的 ， 一 
般 的 网 站 使 用 DV 证 书 就 足够 了 。OV 证 书 需 要 验证 域名 拥有 者 的 公司 信息 ,并 且 在 证 书 中 包含 公 
司 信息 。 尽 管 如 此 ， 浏 览 器 实际 上 并 不 区 分 OV 和 DV 证 书 ， 也 不 会 展示 出 证 书包 含 的 所 有 信息 。 

EV 证 书 在 以 下 几 个 方面 与 DV 和 OV 证 书 不 同 : (1) EV 的 验证 过 程 符合 CAB 论 坛 标准 ; (2) 公 
司 信息 显示 在 浏览 器 地 址 栏 并 突出 显示 为 绿色 ; (3) 浏览 器 对 EV 证 书 的 证 书 吊销 支持 更 好 一 些 。 
从 安全 角度 讲 ，EV 证 书 并 无 多 少 改 善 ， 但 它们 确实 能 给 用 户 更 好 的 体验 ， 对 于 某 些 业务 来 讲 ， 
这 种 体验 可 能 很 有 价值 。 


注意 

A yy 

如 果 你 计划 采购 EV 证 书 , Chrome 浏 览 器 要 求 2015 年 1 月 1 日 之 后 签发 的 EV 证 书 都 必须 
支持 证 书 透明 度 ( certificate transparency，CT ) 特性 ， 所 以 在 购买 前 请 务必 咨询 你 的 
CA 厂商 是 否 支持 CT， 以 确保 证 书 可 以 被 Chrome 正 确 识 别 。 


























































































































8.2.2 证 书 主机 名 


证 书 的 主要 作用 就 是 为 保障 用 户 安 全 顺畅 地 访问 域名 建议 合适 的 信任 机 制 。 在 互联 网 上 , 用 
户 经 常会 收 到 一 些 证 书 域名 不 匹配 的 警告 , 这 往往 是 由 于 使 用 的 证 书 不 能 匹配 该 域名 的 不 同 变 体 
( 比如 证 书 域名 是 www.example.com， 无 法 匹配 example.com 域 名 )。 
为 了 避免 上 述 问题 ,请 遵守 一 个 简单 的 规则 : 只 要 有 一 个 DNS 解 析 指 向 你 的 TLS 服 务 器 ， 就 






































人 AWS CloudHSM，https://aws.amazon.com/cloudhsm/( 亚马逊 Web 服 务 ， 检 索 于 2014 年 5 月 16 日 )。 
© Photos of an NSA “upgrade” factory show Cisco router getting implant, http://arstechnica.com/tech-policy/2014/05/ 








photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/ ( Ars Technica，2014 年 5 月 14 日 )。 
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务必 保证 你 的 证 书包 括 了 这 个 DNS 域名 。 我 们 无 法 控制 用 户 在 浏览 需 地 址 栏 中 输入 网 址 的 方式 ， 
也 无 法 控制 他 们 连接 到 我 们 网 站 的 途径 ; 我 们 唯一 能 保障 的 是 证 书 能 够 覆盖 所 有 有 效 的 域名 。 从 
我 的 经 验 来 看 ， 有 些 CA 签发 证 书 时 会 自动 包含 域名 的 不 同 变 体 ， 但 也 有 些 CA 不 具备 这 个 功能 。 


注意 

另 一 个 常见 的 问题 是 有 些 网 站 会 同时 把 明文 服务 (http ) 和 安全 服务 (https ) 部 署 在 
同一 个 IP 地 址 上 。 当 有 人 使 用 https:// 前 组 来 访问 明文 服务 的 网 站 域名 时 ， 就 会 收 到 证 
书 名 称 不 匹配 的 警告 ,用户 忽略 警告 后 服务 又 会 被 错误 地 转发 到 安全 服务 上 。 解 决 这 
个 问题 的 最 好 办 法 是 把 明文 服务 独立 部 署 到 其 他 IP 地 址 ， 并 关闭 这 个 了 了 的 443 端 口 。 





8.2.3 ”证 书 共享 


证 书 共享 大 致 分 为 两 种 类 型 。 第 一 种 : 你 可 以 签发 一 个 包含 所 有 需要 域名 的 证 书 (例如 ， 
www.example.com 、example.com 和 ]og.example.com )。 第 二 种 : 你 可 以 签发 一 个 泛 域名 证 书 ， 可 
用 于 所 有 关联 的 子 域名 〈 例 如， 签发 一 个 *.example.com 和 example.com 的 证 域名 证 书 )。 

多 域名 证 书 的 优点 是 降低 了 维护 成 本 并 且 可 以 让 多 个 https 网 站 共用 一 个 IP 地 址 。 这 种 证 书 在 
CDN 上 使 用 很 普遍 ， 因 为 CDN 经 常会 需要 对 很 多 不 同 的 外 部 用 户 提供 服务 。 

原则 上 , 使 用 多 域名 证 书 并 没有 什么 问题 , 但 前 提 是 它 不 会 降低 你 的 系统 安全 性 ,而 现实 是 
这 种 证 书 的 使 用 确实 会 对 安全 性 有 影响 。 从 本 质 上 来 讨 ， 当 多 个 域名 共用 一 个 证 书 时 , 事实 上 它 
们 也 就 共用 了 一 个 相同 的 私 钥 。 因 此 ， 当 你 的 一 组 网 站 是 由 不 同 团队 运营 或 者 根本 各 不 相关 时 ， 
就 不 应 该 对 这 些 网 站 使 用 多 域名 证 书 。 因 为 如 果 其 中 一 个 网 站 被 攻击 , 被 窃取 的 私 钥 就 可 以 用 来 
攻击 所 有 共用 这 个 证 书 的 其 他 网 站 , 另外 在 发 生 攻击 后 , 你 也 需要 对 这 组 网 站 全 部 更 新 一 遍 密 钥 。 

更 重要 的 是 ， 共 享 一 个 证 书 会 在 应 用 层面 上 将 一 组 业务 捆绑 在 一 起 : 任意 一 个 站 点 的 漏洞 ， 
都 可 以 用 来 攻击 这 组 业务 的 所 有 其 他 网 站 。 由 于 有 这 些 安 全 隐患, 最 好 在 实践 中 避免 使 用 多 域名 
证 书 。 此 外 ， 在 不 同 服务 之 间 共 享 TLS 会 话 也 有 类 似 的 问题 ， 你 可 以 在 6.8.1 节 中 找到 关于 这 个 问 
题 的 更 全 面 的 讨论 。 


8.2.4 签名 算法 


为 了 保证 证 书 的 有 效 性 ，CA 在 签发 证 书 时 会 对 证 书 进行 数字 签名 。 数 字 签 名 的 安全 性 依赖 
于 两 个 方面 : 一 个 是 CA 的 私 钥 长 度 ， 男 一 个 是 散 列 算法 的 强度 。 一 般 来 讲 ，CA 私 钥 的 强度 都 是 
可 以 保证 的 , 但 目前 签名 最 常用 的 散 列 算法 (SHA1 ) 的 安全 性 是 有 问题 的 。 虽然 SHA1 在 设计 上 
提供 了 80 位 的 强度 ,但 实际 使 用 中 往往 只 能 达到 61 位 。 

自从 2009 年 MD5 签 名 算法 被 完全 破解 后 ， 业 界 就 已 开始 着 手 SHA1 算 法 的 迁移 。2013 年 ， 
Microsoft 率 先 提出 将 于 2017 年 1 月 开始 停止 接受 SHA1 证 书 "， 各 大 CA 厂商 也 随 之 开始 纷纷 改 用 










































































































































































Q@ SHA1 弃 用 策略 ，http://blogs.technet.com/b/pki/archive/2013/11/12/shal-deprecation-policy.aspx?Redirected=true ( Windows 
PKI Blog，2013 年 12 月 12 
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SHA256 作 为 其 默认 的 散 列 签名 算法 。2014 年 9 月 ，Google 宣 布 将 在 2014 年 底 对 SHA1 证 书 提示 安 
全 警告 。 从 Chrome 42 版 本 后 ，Chrome 浏 览 器 对 2016 年 内 到 期 的 SHA1 证 书 会 提示 警告 ， 对 2017 
年 后 到 期 的 SHA1 证 书 则 直接 提示 错误 。 这 些 措 施 都 大 大 促进 了 业界 SHA1 证 书 的 迁移 。" 

对 于 新 申请 的 证 书 , 要 确保 使 用 SHA256 或 更 好 的 签名 算法 。 申 请 证 书 前 你 需要 提前 与 CA 确 
认 好 签名 算法 ， 因 为 签名 算法 的 选择 不 是 在 你 提交 的 CSR 里 设 定 的 ， 并 且 需 要 确认 CA 签发 证 书 
的 整个 证 书 链 都 不 能 使 用 SHA1 签 名 〈 根 证 书签 名 例外 )。 对 于 现 有 的 证 书 ， 如 果 有 效 期 在 2016 
年 之 前 ， 你 可 以 继续 使 用 ， 和 否则 应 该 立刻 采取 措施 更 新 证 书 。 


注意 

每 一 次 密码 算法 的 更 新 , 最 大 难题 就 是 老 客 户 端 的 兼容 性 问题 ， 老 客户 端 往往 不 支持 
新 的 特性 。 对 于 SHA256 来 说 ， 最 大 的 问题 是 没有 升级 到 SP3 的 Windows XP 用 户 了 ， 以 
及 Android 2.3 版 本 之 前 的 移动 设备 ”， 二 者 都 不 支持 SHA256 算 法 。 

因此 在 更 新 证 书签 名 算法 之 前 ， 请 仔细 检查 你 的 Web 服 务 器 日 志 ， 看 一 下 这 些 老 客户 
端 在 你 的 流量 中 还 占据 多 大 的 比例 。 如 果 比 例 还 很 大 ， 可 以 推迟 更 新 证 书 ， 直 到 最 后 
的 时 刻 ( 2017 年 )， 以 尽量 避免 用 户 流量 的 损失 。 另 外 还 有 一 种 方法 。 有 一 些 Web 服 
务 器 支持 对 一 个 站 点 部 署 多 个 证 书 的 方案 ， 如 果 你 的 Web 服 务 器 支持 这 个 特性 ， 那 就 
可 以 做 到 两 全 其 美 : 对 老 客 户 端 部 署 SHA1 证 书 ， 同 时 对 其 他 用 户 部 署 SHA256 证 书 。 
我 会 在 13.5 节 中 详细 介绍 Apache Web 服 务 器 多 证 书 的 部 署 方法 。 














8.2.5 ”证 书 链 


虽然 我 们 一 直 在 讨论 服务 器 证 书 , 但 实际 上 我 们 在 部 署 TLS 服 务 器 时 真正 需要 配置 的 是 证 书 
链 ( certificate chain )。 一 个 证 书 链 就 是 能 溯源 到 一 个 可 信和 根 证 书 的 有 序 证 书 列 表 。 互 联网 上 一 个 
销 见 的 问题 就 是 服务 器 没有 配置 完整 的 证 书 链 ， 根 据 SSL Pulse 2014 年 7 月 的 数据 ,大 约 有 5.9% 的 
服务 器 没有 正确 配置 证 书 链 。” 

一 些 UA 知 道 如 何 重建 不 完整 的 证 书 链 ， 有 两 种 常见 的 方法 : (1) 预 置 并 缓存 所 有 的 中 间 CA 
证 书 ; (2) UA 从 证 书 内 置 的 父 证 书信 息 中 取得 链接 地 址 并 自动 获取 。 这 两 种 方法 都 不 可 靠 ， 第 二 
种 方法 还 会 降低 用 户 访问 速度 ， 因 为 UA 还 需要 从 CA 网 站 上 下 载 证 书 链 来 验证 证 书 的 有 效 性 。 

另 一 个 常见 问题 是 证 书 链 的 顺序 不 正确 , 严格 来 讲 这 就 是 一 个 无 效 的 证 书 。 实 际 上 ， 几 乎 所 
有 UA 都 知道 如 何 重新 排序 来 建立 正确 的 证 书 链 。 当 然 最 好 的 办 法 是 确保 你 的 证 书 链 完整 并 且 顺 








































































































QD Gradually sunsetting SHA-1, http://googleonlinesecurity.blogspot.co.uk/2014/09/gradually-sunsetting-sha-1.html( Google 
Online Security Blog，2014 年 9 月 5 日 )。 

©® SHA-256 certificates are coming, https://www.imperialviolet.org/2014/05/14/sha256.html ( Adam Langley，2014 年 5 月 
14 日 )。 

@) SHA-256 Compatibility, https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility ( GlobalSign ， 
检索 于 2014 年 9 月 26 日 )。 

由 SSL Pulse ,https://www.trustworthyinternet.org/ssl-pulse/ ( SSL Labs， 检 索 于 2015 年 7 月 26 日 )。 
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序 正确 。 
虽然 中 间 证 书 的 有 效 期 一 般 很 长 , 但 总 有 一 天 还 是 会 过 期 。 因 此 当 你 安装 一 个 新 证 书 时 ， 即 
使 CA 不 变 , 也 建议 更 新 证 书 链 中 的 全 部 证 书 , 这 样 可 以 确保 不 会 错误 地 部 署 了 过 期 的 中 间 证 书 。 
从 性 能 优化 角度 来 看 , 你 的 证 书 链 应 该 只 包含 所 有 必要 的 证 书 ， 既 不 多 也 不 少 , 额外 的 证 书 
( 比如 根 证 书 ， 是 不 需要 包含 的 ) 会 降低 TLS 握 手 速度 。 麻 烦 的 是 有 时 我 们 还 会 遇 到 多 证 书 链 的 
场景 。 由 于 历史 原因 ， 存 在 多 个 可 信 路 径 是 有 可 能 的 ， 比 如 一 个 新 的 CA 将 自己 的 根 证 书 植 人 了 
现代 浏览 器 , 但 是 为 了 保证 老 客户 端 上 证 书 的 使 用 不 受 影 响 , 他 们 还 会 把 自己 的 根 证 书 与 男 一 个 
已 有 CA 进行 交叉 签名 。 这 种 场景 下 ， 就 不 能 简单 地 把 你 的 证 书 “ 优 化 ”成 最 短 的 路 径 ， 因 为 最 
短路 径 只 能 在 最 新 的 浏览 器 中 工作 ， 但 在 老 客 户 端 上 证 书 链 则 是 不 完整 的 。 


8.2.6 证书 吊 销 


证 书 可 以 提供 两 种 类 型 的 吊销 信息 :CRL 和 OCSP。 尽 管 不 包含 吊销 信息 的 证 书 十 分 罕见 ， 
你 还 是 应 该 检查 一 下 自己 的 证 书 〈 比如 使 用 SSL Labs 检 查 网 站 ， 或 者 用 OpenSSL 的 命令 行 工 
)。 
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更 为 重要 的 是 , 你 的 CA 需要 提供 一 个 可 靠 和 快速 的 OCSP 响 应 服务 。 因 为 每 一 次 用 户 连接 到 
你 的 网 站 ， 就 会 同样 触发 一 次 到 CA 站 点 的 查询 。 为 了 获得 最 佳 效 果 和 可 靠 性 ， 建 议 启 用 OCSP 
stapling 特 性 。 启 用 后 ， 你 的 Web 服 务 器 可 以 直接 返回 OCSP 响 应 ， 以 避免 因 依赖 CA 网 站 而 引起 的 
性 能 、 可 用 性 和 隐私 方面 的 潜在 问题 。 








8.2.7 ”选择 合适 的 CA 


对 于 一 个 只 需要 DV 证 书 的 小 网 站 ,理论 上 所 有 CA 都 没 问 题 。 你 可 以 随意 选择 ， 找 一 家 最 便 
宜 的 CA 就 行 。 任 何 公 共 CA 都 可 以 直接 签发 DV 证 书 ， 并 日 无 需 你 提供 任何 信息 ， 为 什么 要 付 更 
多 的 钱 呢 ? 但 是 ， 如 果 你 的 证 书 需 要 用 来 保护 重要 的 资产 ， 花 一 点 时 间 仔 细 选 择 ， 确 保 CA 能 满 
足 你 的 所 有 需求 。 假 如 你 还 需要 启用 像 钉 扎 这 样 的 高 级 特性 ， 选 择 一 个 CA 将 会 是 一 个 长 期 的 承 
诺 ， 请 更 加 谨慎 地 选择 。 

口 服务 

今 时 今日 ， 一 切 都 是 服务 。 如 今 的 证 书 服务 正 变 得 越 来 越 复 杂 。 如 果 你 的 公司 没有 这 方 
面 的 专家 ， 也 许可 以 找 一 个 可 靠 的 CA 合作 。 成 本 虽然 重要 ， 但 是 用 户 接口 和 服务 质量 同 
样 重要 。 

口 兼容 性 

如 果 你 有 一 个 巨大 的 多 样 化 的 用 户 群 , 那么 就 需要 一 个 被 广泛 预 置 的 可 信 CA。 老牌 的 CA 
厂商 在 这 方面 有 明显 的 优势 ， 因 为 他 们 早已 花 了 大 量 时 间 将 自己 的 证 书 预 置 到 各 种 系统 
中 。 一 个 年 轻 的 CA 厂商 ， 如 果 能 与 一 个 现 有 CA 进行 交叉 签名 ， 也 一 样 没 有 问题 。 你 最 好 
这 样 做 : (1) 列 一 张 你 需要 支持 的 重要 平台 列表 ; (2) 找 CA 厂 商 要 一 份 证 书信 任 库 部 署 列 
表 ; (3) 确保 两 者 匹配 。 最 后 ， 申 请 一 个 测试 证 书 在 你 的 关键 平台 上 进行 测试 验证 。 请 记 
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住 , 不 要 只 看 CA 现在 支持 的 平台 有 哪些 , 还 要 看 CA 支持 这 些 平台 的 时 间 点 。 有 很 多 设备 
不 支持 更 新 信任 库 ， 因 此 时 间 点 也 是 一 个 关键 点 。 

口 先进 性 
有 些 CA 只 对 销售 证 书 感 兴趣 ， 而 有 些 CA 却 能 塑造 和 引领 整个 行业 。 你 应 该 与 第 二 种 CA 
合作 而 逐渐 从 第 一 种 CA 迁 离 。 如 今 ， 务 必 选 择 这 样 的 CA: 已 默认 签发 SHA256 证 书 ， 提 
供 良 好 的 OCSP 响 应 服务 ， 并 且 有 计划 支持 钉 扎 和 证 书 透明 度 特 性 。 

口 安全 性 
作为 一 个 CA， 安 全 运行 业务 的 能 力 显然 是 最 重要 的 一 个 标准 。 但 如 何 去 判 断 CA 的 安全 
性 ? 所 有 的 CA 都 通过 了 审核 , 在 表面 上 具有 完全 相同 的 安全 性 , 但 是 历史 证 明 不 同 的 CA 
安全 性 上 差异 很 大 。 最 好 的 方法 是 仔细 搜索 一 下 这 个 CA 安全 性 方面 的 历史 。 















































自 签名 证 书 和 私有 CA 

虽然 本 节 一 直 在 假设 你 从 一 个 公共 CA 处 获取 证 书 , 但 其 实 你 也 可 以 决定 是 否 使 用 自 签 
名 证 书 ， 可 以 创建 自己 的 私有 CA 并 用 它 给 你 的 服务 器 签发 证 书 。 这 三 种 方式 都 有 自己 的 使 
用 场景 。 

对 于 互联 网 网 站 ， 唯 一 安全 的 方法 是 使 用 公共 CA 来 签发 证 书 。 

自 签名 证 书 是 最 差 的 方式 。Firefox 浏 览 器 在 自 签 名 证 书 的 使 用 上 比较 方便 ， 你 只 要 在 第 
一 次 访问 时 创建 一 个 例外 ， 所 有 后 续 访问 中 的 自 签名 证 书 都 会 自动 被 认为 是 有 效 的 ， 其 他 浏 
览 器 可 能 每 次 都 会 弹出 一 个 证 书 人 警告 。 "除非 你 每 次 对 自 签名 证 书 进 行 校 验 , 否则 自 签名 证 书 
的 安全 性 是 无 法 保证 的 ， 即 使 用 的 是 Firefox 浏 览 器 也 是 一 样 。 问 问 你 自己 : 如 果 你 的 小 组 成 
员 之 前 已 经 确认 过 一 次 自 签 名 证 书 ， 当 他 们 再 次 遇 到 证 书 警 告 时 会 怎么 做 ? 他 们 会 与 你 确认 
证 书 是 否 更 新 ， 还 是 会 直接 放 过 ? 

理论 上 讲 , 使 用 私有 CA 总 会 是 一 个 更 好 的 方案 。 只 需要 多 一 点 的 前 期 工作 ,但 一 旦 基础 
设施 到 位 ， 根 证 书 被 安全 地 分 发 到 所 有 用 户 设备 上 ， 接 下 来 的 使 用 就 与 其 他 系统 一 样 ， 完 全 
符合 PKI 体 系 的 安全 标准 。 











8.3 协议 配置 


在 配置 TLS 协 议 时 , 你 通常 是 根据 安全 性 和 互 操作 性 的 组 合 来 作出 选择 的 。 在 理想 的 环境 中 ， 
需要 考虑 安全 性 ， 因 此 你 可 以 启用 TLS 1.2 并 且 禁 用 其 他 所 有 的 版 本 。 实 际 上 ， 这 种 方案 只 能 
于 很 少 的 场合 或 者 严格 可 控 的 环境 中 。 尽 管 现代 浏览 器 都 文 持 TLS 1.2， 但 其 他 许多 产品 和 工 
不 一 定 文 持 。 
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中 通常 可 以 绕 过 浏览 器 的 用 户 界面 ， 直 接 把 自 签名 证 书 导 入 底层 可 信 证 书库 。 这 样 做 的 效果 与 创建 Firefox 例 外 是 一 
样 的 ， 只 是 需要 更 多 的 工作 ， 容 。 
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一 个 常见 的 公共 网 站 通常 支持 TLS 1.0、TLS 1.1 和 TLS 1.2。SSL2 和 SSL 3 已 基本 废弃 并 日 不 
安全 。SSL 3 确实 被 使 用 了 很 长 的 一 段 时 间 ， 但 它 有 一 个 致命 的 缺陷 ， 即 2014 年 10 月 发 现 的 
POODLE 攻 击 了 >。 几乎 所 有 客户 端 都 至 少 支持 TLS 1.0， 唯 一 的 问题 是 6 浏览 器 ， 这 个 版 本 的 IE 
在 默认 情况 下 只 支持 SSL 3。 然 而 在 2014 年 的 POODLE 攻 击 问题 后 ， 各 大 公司 和 CDN 厂 商都 已 经 
开始 禁用 SSL 3， 这 也 会 引导 IE6 用 户 升 级 到 其 他 高 级 浏览 器 ， 实 际 上 在 下 6 中 可 以 手动 启用 TLS 
1.0, 但 更 推荐 你 直接 升级 到 其 他 现代 浏览 器 。 

选择 协议 的 男 一 个 方式 是 遵守 一 个 合适 的 安全 标准 。 例 如 ，2015 年 4 月 PCI 委 员 会 发 布 了 PCI 
数据 安全 标准 (PCI data security standard，PCI DSS ) V3.1,“ 在 这 个 版 本 的 安全 标准 中 ， 所 有 版 
本 的 SSL 协 议和 TLS 1.0 都 被 认为 不 够 安全 , 不 建议 在 新 部 署 中 使 用 , 已 在 使 用 的 系统 可 以 保留 到 
2016 年 7 月 再 迁移 到 更 安全 的 协议 版 本 ， 推 荐 的 协议 版 本 是 TLS 1.2。 


注意 

旧版 本 的 协议 确实 是 一 个 隐患, 因为 大 多 数 浏览 器 都 可 以 被 强制 降级 到 所 支持 的 最 旧 
(最 差 ) 的 协议 版 本 ， 网 络 攻击 者 可 以 用 这 种 方式 禁用 高 版 本 协议 并 间接 影响 密码 套 
件 的 选择 。 我 们 会 在 8.4 节 中 详细 讨论 这 个 问题 。 


8.4 密码 套件 配置 


在 这 一 他 中 , 我们 会 讨论 影响 密码 套件 配置 的 几 个 方面 : 加 密 强度 、 长 期 安全 性 、 性 能 和 互 
操作 性 。 


8.4.1 服务 器 密码 套件 配置 优先 


无 论 你 有 什么 样 的 客户 端 ， 强 制服 务 器 密码 套件 配置 优先 是 确保 最 佳 安全 至 关 重 要 的 一 点 。 
密码 套件 的 选择 是 在 TLS 握 手 期 间 决定 的 ， 而 TLS 协 议 确保 了 握手 的 完整 性 ， 强 制服 务 器 算法 优 
先后 ， 网 络 攻击 者 就 无 法 通过 强制 选择 弱 密 码 套件 来 发 起 攻击 。 

即使 启用 了 服务 器 密码 套件 优先 ,你 仍然 不 应 该 配置 不 安全 的 套件 。 网 络 攻击 者 可 以 强制 一 
个 浏览 器 (一 般 来 讲 其 他 客户 端 都 不 行 ， 比 如 命令 行 工具 ) 来 自动 将 协议 降级 到 最 差 的 版 本 ， 如 
果 你 的 服务 器 还 在 支持 SSL3 ， 这 意味 着 潜在 的 风险 : 加 密 没 有 身份 验证 ， 无 法 启用 EC 算法 ， 有 
时 甚至 不 能 使 用 AES 算 法 。 








































































































8.4.2 加密 强度 


务必 使 用 128 位 以 上 强度 的 加 密 算法 。 尽 管 AES 和 CAMELLIA 都 符合 这 个 条 件 ， 但 AES 有 更 








Q This POODLE bites: exploiting the 3.0 fallback, http://googleonlinesecurity.blogspot.co.uk/2014/10/this-poodle-bites- 
exploiting-ssl-30.html ( Google Online Security Blog，2014 年 10 月 14 日 )。 

©® PCI Council Publishes Revision to PCI Data Security Standard，https:Wwww.pcisecuritystandards.org/pdfs/15_04 15% 
20PCI%20DSS%203%201%20Press%20Release.pdf (PCI Council，2015 年 4 月 15 日 )。 
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强 的 优势 , 因为 它 可 以 与 GCM 已 验证 套件 一 起 使 用 。 已 验证 套件 是 TLS 提 供 的 最 好 的 特性 之 一 ， 
但 请 避免 使 用 具有 不 安全 性 〈 虽然 不 一 定 是 实际 可 利用 的 ) 的 CBC 套 件 。 例 如 ， 美 国 国家 安全 
局 所 定义 的 美国 国家 安全 应 用 安全 标准 ， 即 Suite B 加 密 标准 中 ， 建 议 在 TLS 协 议 中 只 使 用 GCM 
套件 。” 



































8.4.3 前 向 保密 


建议 不 要 使 用 RSA 密 钥 交 换 ， 因 为 它 不 支持 前 向 保密 。RSA 可 以 同时 用 于 密 钥 交 换 和 身份 验 
证 ， 不 要 搞 混 了 ，RSA 用 于 身份 验证 是 完全 没有 问题 的 ， 如 果 你 使 用 的 是 RSA 私 钥 ， 字 符 串 RSA 
还 是 会 出 现在 密码 套件 的 名 称 中 。 推 荐 选择 名 称 中 包含 字符 串 ECDHE 或 DHE 的 密码 套件 ， 从 性 能 方 
面 来 说 ，ECDHE 套 件 优 于 DHE 套 件 。 

使 用 前 向 保密 后 , 用 户 的 每 次 访问 都 会 使 用 不 同 的 密 钥 独立 加 密 。 如 果 没 有 前 向 保密 ， 所 有 
连接 的 安全 性 都 完全 依赖 于 服务 器 的 密 钥 , 一 旦 服务 器 密 钥 被 破解 或 者 泄露 , 所 有 历史 通信 都 可 
以 被 直接 解密 ,这 是 一 个 巨大 的 隐患 ， 可 以 通过 调整 配置 来 直接 修复 。 事实 上 前 向 保密 特性 是 如 
此 重要 ， 未 来 的 TLS 版 本 预计 将 只 会 支持 提供 前 向 保密 的 套件 。 

对 于 ECDHE 算 法 , secp256r1 曲 线 模型 可 以 为 密 钥 交 换 提供 128 位 的 安全 性 。 虽然 现在 还 没有 
太 多 可 供 选 择 的 曲线 模型 , 但 新 的 模型 和 使 用 机 制 正在 被 加 入 进来 , 例如 在 OpenSSL 中 会 自动 选 
择 客 户 端 支持 的 最 佳 模型 。 一 旦 这 些 新 模型 进入 实用 阶段 , 你 应 该 尽量 使 用 支持 新 模型 的 客户 端 。 

对 于 DHE 算 法 ， 你 的 DH 参数 配置 应 该 提供 2048 位 的 安全 性 。 新 的 服务 器 应 用 要 么 为 所 有 连 
接 提供 这 个 加 密 强 度 ， 要 么 调整 DH 参数 位 数 以 匹配 私 钥 的 加 密 位 数 。 然 而 在 互联 网 平台 上 ,， 尤 
其 是 一 些 老 的 平台 , 仍然 在 使 用 1024 位 甚至 更 低 的 加 密 强 度 。 任何 小 于 2048 位 的 部 署 安全 性 都 较 
弱 ， 而 任何 小 于 1024 位 的 部 署 都 是 不 安全 的 。 

将 DH 参数 的 强度 增加 到 2048 位 在 某 些 情况 下 会 带 来 问题 , 例如 Java 6 客户 端 不 支持 大 于 1024 

位 的 DHE。 如 果 你 遇 到 了 这 种 情况 ， 有 两 个 办 法 可 以 解决 问题 ,也 许 都 不 是 很 理想 , 但 根据 实际 
情况 可 能 有 一 种 是 可 以 接受 的 。 
第 一 种 方法 ， 你 可 以 继续 使 用 弱 DH 参 数 ( 如 果 你 的 服务 器 不 太 可 能 成 为 政府 机 构 的 攻击 目 
标 )。 弱 DH 人 参数 可 以 被 破解 ， 但 成 本 很 高 。 如 果 你 倾向 于 这 一 方案 ， 则 应 当 确保 服务 器 不 会 使 用 
常用 的 1024 位 DH 组 ， 换 句 话 说， 对 每 个 服务 器 都 生成 唯一 的 DH 参 数 。 这 种 做 法 会 大 大 提高 攻击 
者 的 成 本 ， 你 可 以 在 6.5$ 节 中 找到 更 多 关于 DH 弱 点 的 内 容 。 

另 一 种 方法 ， 完 全 禁用 DHE。 这 可 能 不 像 听 起 来 那么 糟糕 ， 因 为 ECDHE 密 钥 交换 同样 支持 
前 向 保密 ， 并 且 比 DHE 更 快 。 如 今 大 多 数 客户 端 都 已 支持 ECDHE， 服 务 器 在 部 署 上 也 会 更 倾向 
于 使 用 ECDHE 而 不 是 DHE。 在 最 近 观 察 的 一 个 实际 环境 中 ， 在 一 个 流行 的 大 众 网 站 中 只 有 百 分 
之 几 的 DHE 流 量 。 如 果 你 保留 使 用 弱 DHE, 意味 着 只 有 这 一 部 分 流量 会 被 攻击 ( 如 果 使 用 了 自 定 
义 DH 组 , 攻击 成 本 会 非常 高 )。 如 果 你 禁用 DHE， 这 部 分 流量 会 失去 前 向 保密 但 相对 安全 ,除非 
有 人 通过 攻击 服务 器 获取 了 你 的 私 钥 。 
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QD RFC 6460: Suite B Profile for TLS, http://tools.ietf.org/html/rfc6460 ( M. Salter 和 R. Housley，2012 年 1 月 )。 








注意 
/ 工 忆 


针对 常用 DH 组 的 攻击 只 在 低 强度 下 有 效 ， 如 果 你 的 部 署 使 用 的 是 2048 位 窗 铀 交换 ， 
就 不 用 担心 使 用 常用 DH 组 (例如 RFC 3526" 所 建议 的 ) 有 什么 问题 。 


8.4.4 ”性 能 


好 消息 是 GCM 套 件 是 最 快 的 ， 因 此 你 无 需 在 安全 性 和 速度 之 间作 出 取舍 。 尽 管 AES 和 
CAMELLIA 在 软件 实现 上 加 密 速度 相 差不多 , 但 是 AES 有 一 个 优势 , 就 是 现代 人 处理 器 的 特殊 指令 





集 可 以 支持 AES 加 速 ， 











因此 AES 在 实践 使 用 中 要 快 得 多 。 另 外 ， 硬 件 加 速 的 AES 能 更 好 地 防御 组 


存 计时 攻击 (cache timing attack )。 

请 避免 使 用 SHA256 和 SHA384 的 CBC 套 件 用 于 完整 性 校 验 。CBC 慢 得 多 并 且 在 安全 性 上 不 比 
SHA1 强 。 不 要 把 GCM 套 件 名 称 中 的 SHA256 和 SHA384 搞 混 了 ,已 验证 套件 以 不 同 的 方式 工作 ， 
并 且 性 能 也 不 慢 。 在 完整 性 校 验 里 也 不 要 担心 SHA1， 配 套 使 用 HMAC 散 列 算法 时 它 是 安全 的 。 

对 于 ECDHE 密 钥 交换 算法 , 使 用 secp256r1 曲 线 模型 , 它 能 提供 128 位 安全 强度 并 且 有 最 好 的 


















































性 能 。 务必 把 ECDHE 优 先 级 设置 成 高 于 DHE， 即 使 是 设 成 常用 的 不 太 安 全 的 1024 位 DHE 也 很 慢 ; 


如 果 设 置 成 2048 位 则 更 慢 。 


8.4.5” 互 操作 性 

















互 操作 性 的 关键 是 提供 尽量 多 的 密码 套件 选择 。TLS 客 户 端 是 多 种 多 样 的 ， 想 必 你 也 不 愿 无 








谓 地 丢弃 掉 一 部 分 客户 。 如 果 你 能 按照 此 处 的 建议 并 设置 好 服务 器 算法 优先 ,就 可 以 让 大 多 数 客 
户 端 都 在 优选 的 密码 套件 上 工作 ， 而 对 于 那些 支持 有 限 的 老 客 户 端 则 在 降级 的 密码 套件 上 工作 。 
以 下 是 一 些 老 客 户 端的 例子 。 








口 一 些 老 客户 端 可 能 支持 3DES 和 RC4, 后 者 是 不 安全 的 且 不 应 该 使 用 , 但 是 3DES 可 以 提供 
112 位 的 安全 怕 
口 默认 情况 下 ，Java 客 户 端 不 支持 256 位 的 套件 。 

















E， 这 仍然 是 可 以 接受 的 。 




















口 Java 在 版 本 8 之 前 ,，DHE 参 数 长 度 不 能 超过 1024 位 。 对 于 Java 7 来 说 这 不 是 什么 问题 ,因为 


Java 7 支持 ECDHE， 只 要 确保 ECDHE 的 优先 级 高 于 DHE， 就 可 以 确保 DHE 不 会 被 使 用 。 
如 果 你 需要 支持 Java 6 的 客户 端 ， 就 必须 在 没有 前 向 保密 的 RSA 密 钥 交 换 和 支持 前 向 保密 

















的 1024 位 DHE 之 间作 出 选择 。 
口 对 于 ECDHE 密 钥 交 换 ， 只 有 两 个 曲线 模型 被 广泛 支持 : secp256r1 和 secp384r1， 如果 你 使 
用 的 是 其 他 曲线 模型 ， 


套件 。 

















1， 那么 可 能 无 法 与 一 部 分 客户 端 〈 例 如 下 浏览 咒 ) 协商 成 功 ECDHE 





QD RFC 3526: More MODP Diffie-Hellman groups for IKE, http://tools.ietf.org/html/rfc3526 ( 工 Kivinen 和 M.Kojo，2003 


年 5 月 )。 
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8.5 服务 器 配置 和 架构 


保障 系统 整体 安全 性 的 唯一 方法 是 确保 系统 的 每 个 部 分 都 是 安全 的 。 以 下 这 些 最 佳 实践 总 是 
适用 的 : 禁用 不 必要 的 服务 ， 定 期 安装 系统 补丁 ， 以 及 做 好 严格 的 访问 控制 。 此 外 ,复杂 的 架构 
会 带 来 自身 的 挑战 ,需要 特别 小 心 , 最 好 是 在 设计 阶段 就 能 确保 架构 的 变迁 不 会 引入 新 的 薄弱 点 。 
关于 系统 架构 的 全 面 介 绍 不 属于 本 书 的 讨论 范围 ， 下 面 仅 介绍 与 TLS 部 署 有 关 的 一 些 方面 。 















































8.5.1 共享 环境 


共享 环境 在 安全 性 上 一 般 都 有 问题 。 共 享 主机 不 应 该 用 于 任何 有 商业 加 密 需求 的 场合 ,有 很 
多 通过 文件 系统 或 直接 内 存 访 问 的 攻击 可 以 导致 私 钥 泄露 。 共 享 虚拟 主机 同样 有 类 似 的 问题 , 是 
否 使 用 取决 于 你 的 安全 要 求 。 数 据 加 密 有 时 候 很 容易 被 用 错 , 尤其 是 资源 被 不 相关 的 各 方 共享 时 。 
有 些 攻 击 方式 依赖 于 对 目标 服务 器 的 快速 访问 〈 例 如 ，Lucky 13 )， 而 另外 一 些 攻 击 方式 ( 例如， 
缓存 计时 攻击 ) 则 依赖 于 对 目标 服务 器 上 CPU 的 访问 , 虚拟 主机 方式 给 这 些 攻击 都 提供 了 可 能 性 。 

基础 设施 共享 一 般 都 是 在 成 本 、 便 利 性 和 安全 性 之 间 的 一 种 折 中 。 众 所 周知 ,最 好 的 安全 环 
境 需 要 专用 硬件 、 强 大 的 物理 安全 、 完 善 的 工程 运营 实践 。 


8.5.2 ”虚拟 安全 托管 


一 种 被 广泛 接受 的 做 法 是 为 每 个 安全 服务 器 配置 一 个 独立 的 他 地 址 。 主要 的 原因 在 于 虚拟 安 
全 托管 (将 许多 不 相关 的 安全 服务 器 置 于 相同 人 地址 ) 依赖 服务 器 名 称 指示 ( server name 
indication，SNI ) 特性 ， 而 SNI 特 性 在 2006 年 才 被 加 入 到 TLS 中 。 因 为 出 现 得 比较 晚 ， 许 多 老 产品 
(例如 , 早期 的 Android 版 本 、 旧 的 般 入 设备 , 以 及 Windows XP 上 的 下 浏览 器 ) 都 不 支持 这 一 特性 。 
因此 ， 面 向 广大 受众 的 网 站 应 该 继续 使 用 这 一 做 法 ， 为 每 个 站 点 配置 独立 的 IP 地 址 。 

目前 而 言 ， 是 否 依 赖 SNI 的 可 用 性 实际 处 在 一 种 模糊 的 边缘 状态 。 如 果 你 的 站 点 用 户 都 是 新 
一 代用 户 群 ， 那 就 不 需要 顾虑 这 一 点 。 我 个 人 预见 ， 在 未 来 的 几 年 内 ， 将 会 看 到 大 量 只 支持 SNI 
的 站 点 出 现 。 考 虑 到 对 Windows XP 的 技术 支持 在 2014 年 已 经 结束 ，XP 用 户 应 该 会 逐渐 迁移 到 新 
的 操作 系统 上 。 



























































8.5.3 ”会 话 缓存 


会 话 缓存 是 性 能 优化 的 常见 方案 ， 客 户 端 和 服务 顺 在 首次 建立 连接 并 创建 SSL 会 话 时 协商 好 
传输 密 钥 ,在 后 续 连 接 中 就 可 以 直接 复 用 相同 的 传输 密 钥 ， 大 大 减少 CPU 消耗 和 网 络 延迟 。 这 个 
措施 会 导致 安全 性 的 降低 , 假如 传输 密 钥 被 破解 ， 整 个 会 话 的 所 有 通信 都 可 能 被 破解 , 但 是 一 般 
情况 下 会 话 只 会 持续 很 有 限 的 时 间 ， 所 以 这 个 折 中 方案 被 广泛 应 用 于 实际 部 署 中 。 

我 不 建议 禁用 会 话 缓存 , 因为 这 会 严重 降低 服务 器 的 性 能 。 即 使 是 对 安全 性 要 求 极 高 的 网 站 ， 
保持 会 话 缓存 在 一 天 之 内 也 都 是 可 以 接受 的 。 如 果 你 想 要 更 高 的 安全 性 , 可 以 缩短 会 话 缓存 的 有 
效 时 间 ， 例 如 一 个 小 时 。 
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当 使 用 会 话 票 证 时 ,所 有 连接 的 安全 性 都 依赖 于 同一 个 票证 密 钥 。 不幸 的 是 ,服务 器 的 会 话 
票证 默认 配置 一 般 都 有 问题 , 大 部 分 OpenSSL 应 用 都 直接 使 用 了 内 置 的 默认 票证 密 钥 并 且 从 来 不 
会 改变 。 当 同一 个 票证 密 钥 被 使 用 几 周 或 者 几 个 月 之 后 ,前 向 保密 实际 也 就 基本 失效 了 。 因 此 当 
启用 会 话 票证 功能 时 ， 请 务必 配置 一 个 新 的 票证 密 钥 并 且 定 期 更 新 (例如 每 日 )。 以 Twitter 为 例 ， 
它 每 12 小 时 会 更 新 一 次 密 钥 并 在 36 小 时 后 删除 旧 密 铀 。” 


8.5.4 复杂 体系 结构 


理想 情况 下 ， 最 安全 的 TLS 部 署 是 使 用 一 个 独立 的 服务 器 ， 并 且 明 确定 义 好 它 的 安全 边界 。 
现实 情况 中 常见 的 是 复杂 体系 结构 , 一 般 是 分 散在 多 个 服务 器 上 的 多 个 组 件 和 服务 , 这 会 带 来 新 
的 问题 和 受 攻击 点 。 
口 分 布 式 会 话 缓存 
如 果 一 个 站 点 的 服务 是 由 一 个 服务 器 集群 来 提供 的 ， 使 用 会 话 缓 存 来 提高 性 能 会 比较 困 
难 。 针 对 这 个 问题 有 两 种 常用 方法 : (1) 使 用 负载 均衡 的 流量 保持 功能 ， 保 证 统一 客户 端 
总 是 被 分 发 到 集群 中 的 相同 节点 ”; (2) 使 用 分 布 式 会 话 缓存 在 所 有 节点 之 间 共 享 TLS 会 话 。 
会 话 缓存 共享 有 一 个 安全 上 的 隐患 : 攻击 点 会 被 放大 ， 因 为 会 话 实际 上 会 存在 于 多 台 服 
务 嚣 上。 除 此 之 外 ， 在 后 端的 会 话 缓存 信息 同步 中 往往 会 使 用 明文 通信 协议 ， 意 味 着 当 
攻击 者 渗透 到 后 端 网 络 时 ， 可 以 很 容易 地 窃取 到 所 有 传输 密 钥 。 
口 会 话 缓存 共享 
在 不 同 应 用 之 间 共 享 会 话 缓 存 会 放大 攻击 面 ， 因 为 它 将 一 堆 应 用 的 安全 性 捆绑 在 一 起 ， 
问题 类 似 于 前 面 讨论 过 的 证 书 共享 。 建 议 若 非 必 要 ， 不 要 使 用 会 话 缓存 共享 ( 这 可 能 会 
需要 你 额外 的 工作 ， 因 为 不 是 所 有 服务 器 都 允许 缓存 隔离 )， 如 果 是 使 用 会 话 票 证 方式 ， 
要 确保 每 个 不 同 的 服务 都 使 用 不 同 的 票证 密 钥 。 
口 SSL 印 载 和 反 向 代理 
SSL 钊 载 是 通过 部 署 一 个 独立 的 接 人 层 来 负责 加 解密 的 工作 。 这 个 做 法 有 其 危险 性 ， 因 为 
从 接 入 层 向 后 代理 的 通信 和 是 不 加 密 的 。 尽 管 你 可 以 认为 内 部 网 络 通信 和 是 安全 的 ， 但 这 个 
架构 设计 确实 引入 了 一 个 长 期 的 严重 攻击 隐患 : 一 旦 攻击 者 人 侵 了 内 网 ， 所 有 加 解密 就 
变 得 无 效 了 。 
口 网 络 流量 监听 
RSA 密 钥 交 换 设计 时 允许 通过 私 钥 共享 来 实现 网 络 流量 监听 ,通常 可 以 通过 入 侵 检测 工具 
和 网 络 监控 工具 来 完成 流量 的 自动 解密 。 在 一 些 特殊 地 方 ， 监 控 所 有 网 络 流量 可 能 是 一 
个 高 优先 级 的 目标 。 另 一 方面 ， 这 个 功能 与 前 向 保密 是 有 冲突 的 ， 因 为 所 有 通信 的 安全 






















































































































































































QD Forward Secrecy at Twitter, https://blog.twitter.com/2013/forward-secrecy-at-twitter ( Jacob Hoffman-Andrews, 2013 

年 11 月 22 日 )。 

@) 通常 这 是 基于 源 卫 地址 来 实现 的 ， 有 些 负 载 均 衡 设 备 可 以 根据 TLS 会 话 ID 来 保证 同一 个 用 户 始终 分 配 到 同一 个 服 
务 器 上 。 
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都 依赖 这 个 共享 的 私 钥 ， 这 将 是 一 个 长 期 的 安全 隐患 。 
口 基础 设施 外 包 

外 包 基 础 架构 的 关键 部 分 时 ， 务 必 小 心间 慎 。 基 于 云 计 算 的 部 署 越 来 越 普及 ,但 厂商 往 
往 不 会 提供 关于 服务 实现 的 具体 细节 ， 这 可 能 会 导致 不 愉快 的 体验 。2014 年 ， 一 组 研究 
人 员 分 析 了 互联 网 CDN 服 务 商 的 HTTPS 使 用 情况 ， 发 现 有 一 些 居然 在 证 书 校 验 上 就 直接 
失败 了 。?” 
最 好 的 办 法 是 自己 做 到 对 加 密 体系 的 完全 控制 。 举 个 例子 , 如 果 你 使 用 了 Amazon 的 Elastic 
Load Balancer 来 实现 应 用 的 负载 均衡 ， 可 以 将 它 配置 成 纯 TCP 模 式 ， 然 后 完全 在 自己 的 服 
务 器 上 做 TLS 加 解密 。 


8.6 问题 缓解 方法 


近年 来 ， 我 们 遇 到 过 一 系列 的 协议 攻击 以 及 各 种 TLS 安 全 缺陷 。 有 些 很 容易 解决 ， 比 如 打 补 
丁 ， 有 些 则 需要 仔细 评估 风险 来 制定 合适 的 部 署 配置 。 在 这 一 节 中 , 我 会 讨论 如 何 应 对 这 些 已 知 
问题 ， 但 不 会 深入 细节 ; 你 可 以 阅读 第 7 章 了 解 更 多 细节 。 


8.6.1 重新 协商 


不 安全 的 重新 协商 是 2009 年 的 一 个 古老 缺陷 , 但 它 仍 然 存在 于 大 量 的 系统 中 。 只 要 打上 最 新 
的 补丁 就 可 以 修复 。 如 果 你 没有 使 用 客户 端 证 书 校 验 , 可 以 在 服务 器 直接 禁用 客户 端 重新 协商 功 
能 ， 和 否则 你 应 当 升 级 支持 安全 的 重新 协商 新 标准 。 

还 在 使 用 不 安全 重新 协商 的 服务 器 可 能 会 遭 到 这 些 攻击 : 跨 站 点 请 求 伪造 《用 户 模拟 入 信 
息 汇 露 和 跨 站 点 脚本 。 这 类 攻击 很 简单 并 且 有 大 量 现成 的 工具 。 












































8.6.2 BEAST (HTTP) 


BEAST 是 2011 年 出 现 的 ， 它 利用 块 加 密 分 组 中 可 预见 的 初始 化 向 量 ， 针 对 TLS 1.0 及 更 早 版 
本 中 的 CBC 套 件 进行 攻击 。 这 种 攻击 实际 上 是 浏览 器 的 一 个 客户 端 问题 ( 非 交互 型 的 客户 端 不 受 
影响 )， 所 有 浏览 器 的 新 版 本 都 已 经 修复 了 这 个 问题 ,但 使 用 老 版 本 浏览 器 的 用 户 (或 者 使 用 有 
缺陷 的 Java 老 版 本 的 用 户 ) 还 会 有 这 个 缺陷 。 虽 然 新 的 协议 (从 TLS 1.1 起 ) 对 BEAST 攻 击 有 了 
很 好 的 保护 , 但 是 老 版 本 的 浏览 器 又 往往 不 支持 新 协议 。BEAST 攻 击 相 对 容易 操作 ,可 以 用 来 窍 
取 敏 感 信息 片段 ( 比如 会 话 Cookie )。 


























8.6.3 CRIME (HTTP) 
CRIME 是 2012 年 出 现 的 ， 它 是 利用 TLS 和 SPDY 早 期 版 本 中 压缩 算法 中 的 信息 泄露 的 一 种 攻 








QD When HTTPS Meets CDN: A Case of Authentication in Delegated Service, http://cobweb.cs.uga.edu/~kangli/src/ 
ieeesp2014.pdf ( Liang 等 ，IEEE Symposium on Security and Privacy，2014 )。 
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击 。 与 BEAST 类 似 ，CRIME 也 只 能 在 浏览 器 中 被 利用 ， 并 且 攻 击 目标 也 是 获取 请 求 头 中 的 敏感 
言 息 片 段 ( 比如 会 话 Cookie 以 及 密码 )。 尽 管 大 量 的 服务 器 支持 TLS 压 缩 , 但 只 有 很 少 的 客户 端 支 
持 , 因此 这 种 攻击 的 实际 影响 面 较 小 。 不管 怎 样 ,你 都 应 该 禁用 TLS 压 缩 功 能 , 打上 最 新 的 补丁 。 














8.6.4 Lucky 13 


Lucky 13 是 2013 年 出 现 的 ， 它 是 针对 CBC 套 件 的 一 种 攻击 。 它 通过 统计 分 析 以 及 其 他 优化 技 
术 ,， 利 用 块 加 密 分 组 操作 之 间 非 常 小 的 时 间 差 来 窃取 信息 ， 要 做 到 这 一 点 ,攻击 者 需要 非常 靠近 
目标 服务 吉 。Lucky 13 的 攻击 目标 也 是 敏感 信息 片段 ， 例 如 密码 。 

据 我 们 所 知 ，Lucky 13 在 现 有 流行 的 TLS 库 中 都 已 经 修复 ， 修 复方 法 是 实现 固定 时 间 解 密 。 
确保 在 所 有 的 环境 中 都 部 署 上 最 新 的 补丁 版 本 ， 就 可 以 很 好 地 避免 这 类 攻击 。 尽 管 如 此 ，CBC 套 
件 有 其 固有 的 弱点 〈 即 难以 正确 实现 )， 未 来 可 能 还 会 有 类 似 的 问题 ， 要 达到 最 佳 的 安全 性 ， 可 
以 改 用 TLS 1.2 中 的 GCM 套 件 来 部 署 已 验证 加 密 。 





























8.6.5 RC4 


历史 上 一 直 认 为 RC4 是 有 安全 弱点 的 ,但 从 没有 人 认为 它 会 影响 到 TLS 加 解密 。 这 一 点 在 2013 
年 发 生 了 改变 , 一 些 新 的 攻击 方式 得 到 披露 ， 让 我 们 知道 它们 可 以 利用 RC4 的 弱点 来 恢复 敏感 信 
息 的 片段 。2015 年 披露 了 更 多 的 攻击 方式 ,可 以 预见 攻击 者 还 会 不 断 改 进攻 击 方法 。 然 而 迄今 》 
止 所 有 已 知 漏洞 都 是 在 特定 的 条 件 下 才能 成 立 , 在 实际 情况 下 并 不 具备 可 操作 性 。 如 上 所 述 , 你 
应 该 尽量 避免 使 用 RC4, 除非 确实 有 使 用 的 需要 。 在 某 些 时 候 , 与 其 他 攻击 ( 比如 BEAST、 Lucky 
13 和 POODLE 攻 击 ， 后 面 会 有 详细 说 明 ) 相 比 ， 选 择 RC4 可 能 是 两 害 择 其 轻 。 

截至 2015 年 2 月，RC4 正 式 在 TLS 中 被 禁用 "， 然 而 这 项 禁令 并 没有 对 RC4 的 普及 性 产生 多 大 
影响 。 根 据 SSL Pulse 在 2015 年 3 月 的 调查 ，RC4 加 密 在 测试 中 仍然 被 大 约 72% 的 服务 咒 使 用 ， 虽 
然 大 部 分 情况 是 用 来 兼容 老 客 户 端 ， 但 也 有 22% 的 现代 浏览 器 在 访问 时 也 会 用 到 。 






























































RC4 与 BEAST、POODLE 以 及 Lucky 13 的 对 比 

RC4 的 使 用 不 能 孤立 地 讨论 , 我 们 必须 考虑 到 上 下 文 ， RC4 经 常 被 用 来 防御 那些 更 严重 的 
问题 ， 诸 如 BEAST、Lucky 13 (Padding Oracle Attack ) 和 POODLE 等 攻击 手段 都 不 能 用 于 流 
式 加 密 ， 而 RC4 恰 好 是 唯一 可 用 的 流 式 加 密 。 不 幸 的 是 RC4 也 有 自己 的 弱点 。 那 么 应 该 怎么 办 
呢 ? 

现代 浏览 器 通常 不 会 受 影响 , 因此 你 重点 要 考虑 的 是 那些 永远 不 会 更 新 浏览 器 的 老 用 户 。 
BEAST 攻 击 需 要 大 量 的 投入 ,但 是 针对 旧 软 件 和 老 用 户 攻 击 仍然 是 可 行 的 ; POODLE 更 容易 
被 攻击 者 使 用 ， 但 也 需要 相当 多 的 投入 ; Lucky 13 的 攻击 已 经 被 充分 解决 ， 只 要 你 运行 的 是 
最 新 的 服务 器 软件 ; 另 一 方面 ， 目 前 为 止 RC4 的 弱点 被 认为 只 能 在 可 控 环 境 下 被 利用 ， 也 就 











GD RFC 7465: Prohibiting RC4 Cipher Suites ，https:/tools.ietf org/html/rfc7465 ( Andrei Popov，2015 年 2 月 )。 
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是 说 ， 针 对 RC4 的 攻击 会 越 来 越 多 ， 因 为 有 其 他 问题 的 网 站 会 越 来 越 少 。 

对 于 大 部 分 网 站 而 言 ， 最 好 的 办 法 是 着 眼 未 来 : 部 署 最 新 ( 补丁 ) 的 TLS 服 务 程序 以 预 
防 Lucky 13， 启 用 TLS 1.2 以 及 GCM 套 件 ， 禁 用 SSL 3 和 RC4。 

对 于 一 些 高 知名 度 的 大 型 网 站 ， 还 存在 着 大 量 使 用 有 缺陷 老 浏览 器 的 用 户 群 ， 因 此 在 你 
还 无 法 禁用 SSL3 时 ， 可 以 考虑 使 用 RC4 来 避免 CBC 缺 陷 攻 击 。 当 然 在 配置 上 仍然 应 当 针 对 现 
代 浏 览 器 使 用 更 强 的 加 密 协 议 ( 而 非 RC41 ); 而 对 于 TLS 1.0 和 更 老 的 协议 ， 请 允许 并 强制 使 
用 RC4。 








8.6.6 TIME 和 BREACH (HTTP) 

















TIME 和 BREACH 是 2013 年 出 现 的 ， 它 们 基于 CRIME 的 扩展 ， 是 针对 HTTP 压 缩 的 攻击 方式 。 
与 TLS 压 缩 ( 从 未 广泛 部 署 过 ) 不 同 ，HTTP 压 缩 是 非常 有 用 且 十 分 流行 的 ， 一般 只 会 在 有 显著 
性 能 损失 时 才 会 被 禁用 。TIME 攻 击 现 在 还 只 是 一 个 理论 上 的 概念 ， 没 有 任何 工具 被 披露 。 
BREACH 的 发 现 者 发 布 了 源 代码 用 于 概念 演示 , 意味 着 这 种 攻击 更 容易 运用 。 这 两 种 攻击 都 需要 
大 量 的 投入 来 实现 ， 这 也 使 它们 更 适 于 针对 具体 目标 的 攻击 ， 但 无 法 普及 。 如 果 启 用 压缩 ， 则 
BREACH 可 以 用 于 窃取 在 HTML 页 面 中 任意 位 置 出 现 的 敏感 信息 片段 。 
解决 BREACH 人 缺陷 需要 付出 更 多 努力 , 因为 它 的 攻击 面 是 在 应 用 层 。 可 以 考虑 以 下 两 种 解决 
方法 。 
口 隐藏 敏感 令 牌 
对 于 敏感 信息 , 例如 CSRF 防 御 或 者 会 话 管理 的 相关 内 容 , 最 好 的 防御 就 是 屏蔽 这 些 内 容 。 
BREACH 依 赖 在 多 个 HTML 页 面 中 重复 出 现 的 字符 串 ,一 种 有 效 的 保护 技术 就 是 使 屏蔽 后 
的 值 每 次 都 不 相同 但 可 以 被 程序 正确 解析 。 这 种 方法 需要 对 应 用 代码 进行 相应 的 调整 ， 
不 一 定 适用 于 遗留 代码 ， 但 是 很 适用 于 在 框架 和 库 中 实现 。 
口 引用 信息 不 正确 或 不 可 用 时 禁用 压缩 
禁用 压缩 可 以 避免 攻击 , 但 是 代价 太 大 。 一 般 来 说 , 攻击 者 总 是 从 其 他 地 方 发 起 请 求 (不 
在 你 的 网 站 上 )， 这 表示 你 可 以 检查 引用 信息 ， 并 仅 当 有 可 能 受到 攻击 时 才 禁 用 压缩 : 当 
你 发 现 请 求 来 自 其 他 网 站 或 者 当 引 用 信息 为 空 时 (攻击 者 为 了 保护 自己 的 隐私 通常 会 加 
以 隐藏 )。 这 种 方法 不 需要 修改 源 代码 ,但 是 会 有 一 定 的 性 能 损失 ， 因 为 从 其 他 网 站 过 来 
的 正常 请 求 也 都 不 会 被 压缩 。 


8.6.7 三 次 握手 攻击 
三 次 握手 攻击 是 2014 年 出 现 的 一 种 高 效 的 攻击 方式 , 它 只 能 用 于 攻击 那些 启用 客户 端 证 书 身 
份 验证 的 系统 。 这 种 攻击 的 效果 与 不 安全 的 重新 协商 类 似 但 更 容易 被 利用 。 短 期 来 讲 , 最 好 的 解 


决 办 法 是 使 用 最 新 版 本 的 浏览 器 ， 它 们 都 已 经 内 置 了 反 制 措施 。 针 对 这 些 底层 的 核心 问题 ，TLS 
协议 本 身 也 在 不 断 改 进 中 。 
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8.6.8 心脏 出 血 


心脏 出 血 是 OpenSSL 的 一 个 漏洞 ， 而 OpenSSL 是 使 用 最 广泛 的 SSL 加 密 库 。 这 个 漏洞 是 2014 
年 4 月 发 现 的 ， 虽 然 这 不 是 一 个 加 密 算法 的 问题 ， 但 是 对 服务 器 的 影响 是 非常 严重 的 。 自 从 心脏 
出 血 漏洞 被 发 现 后 , 利用 该 漏洞 的 破解 技术 也 迅速 得 到 了 开发 ， 出 现 了 大 量 现成 的 攻击 工具 , 可 
直接 用 来 获取 服务 器 的 私 钥 信息 。 
解决 这 个 问题 需要 几 个 步骤: (1) 给 受 影响 的 系统 打上 OpenSSL 补 丁 ， 修 复 漏 洞 ;(2) 更 新 私 
钥 ， 重 新 签发 证 书 ， 吊 销 老 证 书 ; (3) 如 果 使 用 了 会 话 票 证 ， 更 新 票证 密 钥 ; (4) 评估 可 能 存在 于 
服务 器 内 存 中 的 敏感 信息 ， 并 决定 是 否 还 要 采取 其 他 措施 〈 例如 一 些 网 站 建议 用 户 更 改 密码 )。 

警告 
有 些 服务 器 虽然 打 了 心脏 出 血 补丁 并 且 安 装 了 新 的 证 书 , 但 没有 更 新 私 钥 。 这 样 做 有 
很 大 的 问题 ， 因 为 在 修复 之 前 私 钥 有 可 能 已 经 泄露 ， 仍 然 可 以 被 攻击 者 使 用 。 


8.7 钉 扎 


互联 网 的 信任 机 制 完 全 依赖 于 数 百 家 CA 厂商 颁发 的 证 书 ， 证 书 用 来 验证 服务 器 的 合法 性 。 
对 于 一 般 的 网 站 来 讲 ,， 这 种 方法 很 适用 ， 因 为 这 些 网 站 不 太 可 能 被 伪造 证 书 ; 高 知名 度 网 站 的 风 
险 则 高 得 多 ， 原 因 在 于 任意 一 个 CA 都 可 以 签发 任意 一 个 域名 的 证 书 。 为 了 避免 这 个 问题 ， 可 以 
使 用 一 种 被 称 为 公 钥 钉 扎 (public key pinning ) 的 技术 ， 它 允许 你 强制 指定 签发 证 书 的 CA， 只 有 
被 指定 的 CA 为 你 的 域名 签发 的 证 书 才能 正常 使 用 。 

钉 扎 技术 大 大 降低 了 证 书 伪 造 的 攻击 可 能 性 , 但 是 也 需要 付出 一 些 代 价 : 需要 一 定 的 投入 才 
能 建立 起 一 个 成 熟 的 钉 扎 战 略 和 运营 机 制 , 并 且 钉 扎 完 全 依赖 于 浏览 器 的 内 部 验证 机 制 。 关于 钉 
扎 技术 有 几 个 不 同 的 标准 ， 目 前 正 处 于 不 同 的 发 展 阶段 : DANE ( 基于 DNSSEC )、HTTP 公 钥 钉 
扎 和 TACK。 
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8.8 HTTP 


虽然 SSL 和 TLS 被 设计 成 可 以 保护 任意 面向 连接 的 协议 ,但 最 迫切 的 需求 是 用 来 保护 HTTP 
网 站 。 直 到 今天 ， 网 站 加 密 仍然 是 TLS 最 常用 的 使 用 场景 。 经 过 多 年 的 发 展 ， 互 联网 已 经 从 一 个 
简单 的 文件 分 发 系统 转变 成 一 个 复杂 的 应 用 交付 平台 , 这 种 复杂 性 带 来 了 更 多 的 攻击 可 能 性 , 也 
就 需要 我 们 在 安全 保护 上 投入 更 多 。 


8.8.1 充分 利用 加 窗 


在 HITP 交 互 中 加 密 是 可 选 的 ， 导 致 的 结果 是 许多 网 站 实际 都 没有 启用 ， 即 使 业务 上 有 需求 
是 这 样 。 有些 是 设计 上 的 问题 有 些 则 是 被 简单 忽略 了 。 大 部 分 未 使 用 加 密 的 情况 , 仅仅 是 因 
为 它 需要 额外 的 付出 和 专业 知识 。 有些 人 则 认为 加 密会 导致 性 能 和 成 本 方面 的 问题 。 男 外 , 浏览 
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器 允许 安全 和 不 安全 的 资源 在 同一 个 HTML 页 面 中 混合 展示 ， 这 使 得 加 密 的 使 用 更 加 混乱 。 
事实 是 ， 只 要 你 将 任何 有 价值 的 信息 接 人 了 网 络 ， 都 必须 加 密 ,， 并且 应 该 将 整个 站 点 完全 加 
密 ! 因为 只 做 局 部 的 加 密 几 乎 无 法 保障 网 站 的 安全 性 ， 尤 其 是 在 安全 域 和 非 安全 域 之 间 发 生 
Cookie 和 用 户 的 交互 时 , 混合 内 容 的 问题 ( 在 一 个 安全 页 面 中 请 求 一 个 非 安 全 的 资源 ) 同样 可 以 
被 攻击 者 利用 来 侵入 网 站 。 
总 之 ， 最 好 的 办 法 就 是 强制 对 整个 域名 进行 加 密 ， 包 括 所 有 提供 服务 的 子 域名 。 



































8.8.2 ”Cookie 安全 


如 果 没 有 对 HTTP Cookie 做 好 安全 措施 (常见 的 程序 错误 )，Cookie 就 很 容易 被 网 络 攻击 者 
获取 ， 在 极端 情况 下 即便 网 站 不 以 明文 访问 也 是 如 此 。 因 此 ， 在 QA 阶段 需要 特别 注意 Cookie 的 
创建 。 
此 外 ， 由 于 宽松 的 Cookie 规 范 ， 攻 击 者 很 容易 向 毫 无 防备 的 应 用 中 注入 自己 的 Cookie。 一 般 
可 以 通过 相关 子 域名 下 的 其 他 应 用 来 实现 ( 比如, 在 blog.example.com 中 注入 www.example.com )， 
甚至 可 能 是 通过 一 个 不 存在 的 子 域 名 来 发 起 攻击 , 熟练 的 攻击 者 可 以 利用 Cookie 注 入 来 提升 自己 
的 权限 。 为 了 达到 最 佳 的 安全 性 ， 要 部 署 一 个 Cookie 加 密 或 者 完整 性 校 验 的 方案 ; 前 者 更 安全 ， 
但 后 者 在 JavaScript 需 要 读 取 Cookie 时 更 适用 。 

















8.8.3 ”后 端 证 书 和 域名 验证 


许多 应 用 使 用 HTTPS 进 行 后 端 通信 , 这 种 做 法 在 系统 程序 、 网 站 和 移动 应 用 中 很 常见 。 不 幸 
的 是 ,它们 往往 会 犯 同一 个 错误 : 没有 正确 地 对 证 书 进行 校 验 , 这 样 ， 系 统 实际 上 对 攻击 者 敞开 
了 怀抱 。 你 的 QA 流 程 应 该 包括 证 书 校 验方 面 的 测试 。 

大 多 数 情况 下 ， 你 只 需要 直接 在 底层 TLS 库 中 启用 证 书 校 验 。 有 时 候 开发 者 依赖 底层 API 提 
供 的 证 书 校 验方 法 , 但 底层 API 不 一 定 包 含 了 协议 的 所 有 功能 ( 例如 域名 检查 ), 做 为 一 个 首要 规 
和 矩 ， 只 要 有 更 高 级 的 替代 方案 ， 就 应 当 避 免 使 用 底层 API。 

为 了 取得 最 佳 的 安全 性 ,你 可 以 考虑 在 应 用 中 启用 公 钥 钉 扎 。 与 浏览 器 不 同 ， 你 无 需 等 待 钉 
扎 标准 的 制定 , 在 自己 的 程序 中 你 对 代码 有 完全 控制 , 可 以 很 容易 地 实现 钉 扎 并 大 大 降低 被 攻击 
的 可 能 。 


8.8.4 _ HTTP 严格 传输 安全 


HTTP 严 格 传输 安全 ( HTTP stricttransport security，HSTS ) 是 一 种 标准 ， 人 允许 网 站 强制 要 求 
客户 端 使 用 加 密 方 式 ， 网 站 通过 返回 一 个 HTTP 响 应 头 来 给 浏览 器 指定 策略 。 一 旦 服务 器 启用 
HSTS 后 ， 支 持 这 一 特性 的 浏览 器 将 始终 使 用 TLS 与 网 站 通信 。 它 解决 了 一 些 其 他 手段 难以 解决 
的 问题 (1) 用 户 保 存 了 原始 网 站 的 书签 ， 可 直接 访问 明文 网 站 地 址 ; (2) 不 安全 的 Cookie; 
(3) HTTPS stripping 攻 击 ; (4) 相同 网 站 内 的 混合 内 容 问题 。 

更 重要 的 是 ，HSTS 可 以 禁止 浏览 器 使 用 无 效 证 书 。 在 没有 启用 HSTS 时 , 浏览 器 在 遇 到 无 效 
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证 书 时 会 提示 用 户 , 但 仍然 允许 用 户 继续 访问 ， 大 多 数 用 户 无 法 区 分 这 是 攻击 还 是 配置 问题 ， 
此 往往 会 选择 继续 访问 ， 从 而 导致 很 容易 遭受 网 络 攻击 。 当 HSTS 启 用 后 ,证书 验 证 失败 时 用 户 
将 无 法 绕 过 ， 也 就 无 法 继续 访问 〈 其 实 TLS 协 议 本 来 就 是 这 样 设计 的 )。 

要 达到 最 佳 效果 ，HSTS 应 该 在 相关 域名 的 整个 名 称 空间 内 激活 〈 例 如 exapmle.com 和 所 有 子 
域名 )。 


8.8.5 ”内容 安全 策略 


内 容 安 全 策略 (Content Security Policy ，CSP ) 是 一 种 机 制 ， 允 许 网 站 控制 在 HTML 页 面 中 级 
入 的 资源 用 什么 协议 来 访问 。 与 HSTS 一 样 , 网 站 通过 返回 一 个 HTTP 响 应 头 来 给 浏览 器 指定 策略 。 
尽管 CSP 最 初 是 设计 用 来 对 抗 XSS 攻 击 的 ， 但 它 实 际 上 在 网 站 加 密 方面 起 了 更 重要 的 作用 : 通过 
拒绝 明文 链接 策略 ， 可 以 禁用 页 面 中 的 第 三 方 混合 内 容 。 


8.8.6 协议 降级 保护 


虽然 TLS 具 有 内 置 的 协议 降级 保护 ,但 有 些 浏览 器 在 握手 失败 时 会 自愿 降级 ， 直 接 导 致 降级 
保护 不 起 作用 。 这 无 疑 是 我 们 目前 在 协议 实现 上 所 遇 到 的 最 大 的 一 个 缺陷 。 

经 过 长 时 间 的 讨论 ，Google 通 过 了 一 个 特殊 回 退 标记 套件 ( fallback signaling suite ) 的 提案 ， 
用 来 提示 服务 器 潜在 的 降级 攻击 风险 ， 并 在 Chrome 中 提供 支持 ，Firefox 从 35 版 本 开始 支持 "。 这 
个 机 制 的 有 效 性 还 依赖 服务 器 的 支持 。 将 这 个 特性 加 入 到 底层 库 后 ( OpenSSL 从 1.0.1 版 本 开始 支 
持 )， 应 用 可 以 完全 透明 地 工作 。 同 时 你 也 可 以 在 应 用 外 部 实现 这 个 机 制 ， 例 如 通过 一 个 协议 人 
侵 检测 系统 。 













































































GD The POODLE Attack and the End of SSL 3.0, https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the- 
end-of-ssl-3-0/( Mozilla Security Blog，2014 年 10 月 14 日 )。 
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人 们 有 时 会 关心 一 下 安全 性 , 但 始终 对 速度 非常 关心 。 没 有 人 想 让 自己 的 网 站 速度 更 慢 ,， 提 
高 性 能 的 动机 部 分 来 自 于 我 们 对 速度 快 的 迷恋 。 例 如 ， 有 很 多 证 据 表 明 ， 程 序 员 都 痴迷 于 性 能 ， 
往往 不 愿意 在 代码 质量 上 投入 更 多 精力 。 另 一 方面 ,提高 速度 有 利于 增加 收入 是 有 据 可 查 的 .2006 
年 ，Google 表 示 ， 其 搜索 结果 每 增加 0.5 秒 会 造成 流量 下 降 20%。?"Amazon 则 表示 ， 每 增加 100 训 
秒 延 迟 会 降低 1% 的 收入 。” 
毫 无 疑问 ，TLS 拥 有 变 慢 的 “声誉 ”。 主 要 是 因为 早期 时 候 CPU 还 很 慢 ， 只 有 少数 大 的 站 点 
能 买 得 起 加 密 服 务 ， 但 是 今天 计算 能 力 不 再 是 TLS 的 瓶颈 。2010 年 ，Google 默 认 情 况 下 在 其 电子 
邮件 服务 上 启用 了 加 密 ， 之 后 他 们 表示 SSL/TLS 不 再 花费 昂贵 的 计算 成 本 : 
在 我 们 的 前 端 机 器 上 ，SSL/TLS 计 算 只 点 CPU 负载 的 不 到 1% ， 每 个 连接 只 占 不 到 
10 KB 的 内 存 ， 以 及 不 到 2% 的 网 络 开销 ,很 多 人 以 为 SSL 占 用 了 大 量 的 CPU 时 间 ， 我 们 
希望 上 述 数 字 ( 首次 公开 ) 能 消除 人 们 的 顾虑 。 
本 章 旨 在 尽 可 能 接近 Google 的 性 能 数据 , 很 大 一 部 分 内 容 是 关于 减少 延迟 , 大 多 数 技术 适用 
于 任何 协议 ( 即使 未 使 用 加 密 )， 但 对 TLS 尤 其 重要 ， 因 为 它 增 加 了 连接 开销 。 然 后 就 是 如 何 使 
用 最 少 的 CPU 处 理 能 力 达 到 预期 的 安全 性 , 并 确保 用 户 代 理 只 需 做 尽 可 能 最 少 的 工作 就 可 以 验证 
证 书 。 
注意 
在 本 章 中 , 我 着 重 TLS 的 性 能 调 优 , 但 在 应 用 程序 堆栈 方面 也 有 许多 其 他 潜在 的 收益 。 
对 于 更 广泛 的 Web 应 用 程序 性 能 的 话题 ， 我 推荐 Ilya Grigorik 的 《Web 性 能 权威 指南 》 
一 书 。( 这 本 书 的 英文 版 于 2013 年 由 O?Reilly 出 版 ， 提 供 免费 在 线 阅读 。” ) 
























































GD Marissa Mayer at Web 2.0, http://glinden.blogspot.co.uk/2006/11/marissa-mayer-at-web-20.html ( Greg Linden, 2006 

年 11 月 9 日 )。 

© Make Data Useful http:/www.gduchamp.com/media/StanfordDataMining.2006-11-28.pdf ( Greg Linden ，2006 年 11 月 
28 日 )。 

@) Overclocking SSL, https://www.imperialviolet.org/2010/06/25/0overclocking-ssl.html( Adam Langley, 2010 年 6 月 25 日 )。 

@ High Performance Browser Networking, http://chimera.labs.oreilly.com/books/1230000000545 (Ilya Grigorik， 检 索 于 
2014 年 7 月 17 日 )。 
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9.1 延迟 和 连接 管理 


网 络 通讯 的 速度 由 两 个 主要 因素 决定 : 带宽 和 延迟 。 "带宽 用 来 衡量 在 单位 时 间 内 有 多 少数 
据 可 发 送 ; 延迟 则 描述 一 个 消息 从 一 端 发 送 到 另 一 端 接收 所 需 的 时 间 。 在 这 两 者 中 , 带宽 是 相对 
次 要 因素 ， 因 为 通常 你 可 以 随时 购买 更 多 带宽 ; 而 延迟 是 无 法 避免 的 ,因为 它 是 在 数据 通过 网 络 
连接 传输 时 被 强加 的 限制 

延迟 对 于 交互 消息 是 一 大 限制 因素 。 在 典型 的 请 求 -响应 协议 中 ， 请 求 到 达 其 目的 地 并 且 等 
待 响应 返回 需要 一 定 的 时 间 。 这 是 我 们 测量 延迟 的 措施 , 被 称 为 往返 时 间 (round-trip time, RTT )。 
例如 ， 每 个 TCP 连 接 以 三 次 握手 开始 : (1) 客户 端 发 送 一 个 SYN 消 息 请 求 新 的 连接 ; (2) 服务 器 
接受 并 以 SYN ACK 作 出 响应 ; (3) 客户 端 以 ACK 确 认 响 应 ， 并 开始 发 送 数据 。 它 采用 1.5 次 往返 完成 
握手 。 在 实践 中 ， 使 用 客户 端 先行 ( client-speaks-first ) 的 协议 ， 如 HTTP 和 TLS 协 议 ， 实 际 的 延 
迟 是 一 次 往返 ， 因 为 客户 端 可 以 在 ACK 信 号 之 后 立即 发 送 数据 ( 如 图 9-1 所 示 )。 

延迟 对 TLS 影 响 特别 大 ， 因 为 它 有 自己 精心 设计 的 握手 ,在 连接 初始 化 的 时 候 额 外 增加 了 两 
个 往返 。 
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9.1.1 TCP 优化 


虽然 有 关 TCP 优 化 的 完整 讨论 超出 了 本 书 的 范围 ， 但 有 两 个 非常 重要 并 且 易 于 使 用 的 调 优 ， 
每 个 人 都 应 该 了 解 。 两 者 都 关系 到 TCP 内 置 的 拥塞 控制 (congestion control ) 机 制 。 在 一 个 新 的 
连接 开始 时 ,你 不 知道 对 端 有 多 快 。 如 果 有 足够 的 带宽 ,你 可 以 用 最 快 的 速度 传送 数据 ,但 如 果 
你 正在 处 理 一 个 缓慢 的 移动 网 络 连 接 呢 ?” 如 果 发 送 的 数据 太 多 ， 你 会 压 跨 连接 ， 导 致 连接 中 断 。 
出 于 这 个 原因 ， 每 一 个 TCP 连 接 都 有 一 个 称 为 拥塞 窗口 (congestion window ) 的 速度 极限 。 这 个 
窗口 最 初时 较 小 ， 在 可 靠 性 能 保证 的 情况 下 随时 间 增 长 。 这 种 机 制 被 称 为 慢 启 动 ( slow start )。 

这 给 我 们 带 来 了 丑陋 的 真相 : 所 有 的 TCP 连 接 , 启动 速度 很 慢 , 随 着 时 间 的 推移 速度 增加 ， 
直到 它们 充分 发 挥 其 潜力 。 这 对 于 HTTP 连 接 往 往 是 坏 消息 ; 它们 几乎 总 是 在 不 理想 的 条 件 下 
工作 。 

对 于 TLS 连 接 ， 这 种 情况 甚至 更 糟 ，TLS 握 手 消息 消耗 了 宝贵 的 初始 连接 字 节 ( 当 拥 塞 窗口 
较 小 时 )。 如 果 拥 塞 窗口 足够 大 ， 那 么 慢 启 动 不 会 有 额外 的 延迟 。 但 是 ， 如 果 较 长 的 握手 消息 超 
过 了 拥塞 窗口 大 小 ， 发 送 方 将 必须 把 它 拆 分 成 两 块 ， 先 发 送 一 块 ， 等 待 确认 (一 个 往返 )， 增 加 
拥塞 窗口 ， 然 后 再 发 送 剩 下 的 部 分 。 在 本 章 稍 后 部 分 ， 我 将 讨论 一 些 发 生 这 种 情况 的 示例 。 

1. 初始 拥塞 窗口 调 优 

启动 速度 限制 被 称 为 初始 拥塞 窗口 (initial congestion window，initcwnd )。 如 果 要 在 现代 平 
人 台 上 部 署 ， 则 很 可 能 已 将 初始 拥塞 窗口 设置 为 一 个 较 高 的 值 。2013 年 4 月 发 布 的 RFC6928”， 建议 





























































































































QD What is Network Latency and Why Does It Matter?, http:/www.o3bnetworks.com/wp-content/uploads/2015/02/white- 
paper_latency-matters.pdf ( O3b Networks ， 检 索 于 2014 年 5 月 11 日 )。 
© RFC 6928: Increasing TCP’s Initial Window ,http://tools.ietf.org/html/rfc6928 ( Chu 等，2013 年 4 月 )。 
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默认 情况 下 初始 拥塞 窗口 设置 为 10 个 网 络 段 ( 约 15 KB )。 早 期 的 建议 是 使 用 2~4 个 网 络 段 起 步 。 
在 旧版 本 的 Linux 平 人 台 上 ， 你 可 以 改变 所 有 路 由 的 初始 拥塞 窗口 : 


# ip route | while read p; do ip route change $p initcwnd 10; done 








客户 端 服务 器 
SYN 0ms 
45ms SYNACK TCP 担 手 
90 ms 
ACK 
ClientHello 0 ms 
ServerHello 


135 ms Certificate 
ServerHelloDone 
ClientKeyExchange 
ChangeCipherSpec 180 ms 
Finished 





TLS 提 和 手 
180 ms 


ChangeCipherSpec 


225ms Finished 





应 用 程序 数据 270 ms 


315 ms 应 用 程序 数据 “| 应 用 程序 
90 ms 


360 ms 

















图 9-1 TCP 和 TLS 握 手 延 迟 


2. 防止 空 闪 时 慢 启 动 

男 一 个 问题 是 , 慢 启 动 可 以 作用 于 一 段 时 间 内 没有 任何 流量 的 连接 上 ,降低 其 速度 ,并 且 速 
度 下 降 非 常 快 。 不 活动 的 周期 可 以 是 非常 小 的 , 例如 ,一 秒 钟 。 这 意味 着 ,在 默认 情况 下 ， 几 乎 
每 一 个 长 连接 ( 例如 ,使 用 HTTP 长 连接 ) 都 有 可 能 被 从 快 调 到 慢 ! 为 了 达到 最 佳 效果 ， 最 好 禁 
用 这 个 功能 。 

在 Linux 上 ， 可 以 在 连接 空闲 时 禁用 慢 启动 : 

# sysctl] -w net.ipv4.tcp slow start after idle=0 


可 以 通过 将 该 设置 添加 到 /etc/sysct1.conf 配 置 使 其 永久 生效 。 
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9.1.2 ”长 连接 


大 部 分 TLS 性 能 影响 集中 在 每 一 个 连接 的 开始 握手 阶段 。 一 个 重要 的 优化 技术 是 在 连接 数 允 
许 的 情况 下 尽 可 能 保持 每 个 连接 不 断 开 。 有 了 长 连接 ， 可 以 最 小 化 TLS 开 销 ， 同 时 也 提高 了 TCP 
的 性 能 。 正 如 我 们 在 9.1.1 节 所 说 的 ， 保 持 TCP 连 接 时 间 越 长 ， 传 输 越 快 。 

在 HTTP 中 ， 大 和 多数 事务 往往 是 非常 简短 的 ， 称 作 短 连接 。 最 初 标准 并 没有 提供 一 种 方法 让 
连接 长 时 间 保 持 ， 在 HTTP/1.0 中 保持 活动 状态 (keep-alive ) 是 作为 一 个 试验 性 功能 出 现 的 ， 直 
到 在 HITTP/1.1 中 才 默 认 启 用 。 

保持 大 量 长 连接 是 很 有 挑战 性 的 ， 因 为 很 多 网 站 服务 器 的 设计 对 这 种 情况 处 理 得 并 不 是 很 
好 。 例 如 ，Apache 最 初 设计 一 个 worker ( 进程 或 线程 ， 这 取决 于 配置 ) 处 理 一 个 连接 。 这 种 方式 
的 问题 是 ， 慢 的 客户 端 可 以 耗 尽 所 有 可 用 的 worker 并 且 阻 蹇 Web 服 务 器 。 此 外 ， 攻 击 者 很 容易 创 
建 大 量 的 连接 并 且 以 很 慢 的 速度 发 送 数据 来 进行 这 种 攻击 。” 

现在 的 趋势 是 使 用 事件 驱动 的 Web 服 务 器 ， 通 过 使 用 固定 的 线程 池 (甚至 单个 执行 线程 ) 处 
理 所 有 通讯 ， 从 而 减少 每 个 连接 的 成 本 以 及 被 攻击 的 可 能 性 。Nginx 是 一 开始 吕 内 置 以 这 种 方式 
来 操作 网 络 服务 器 的 例子 。Apache 在 支持 的 平台 上 也 开始 默认 使 用 事件 驱动 模型 。 

长 连接 的 缺点 是 在 最 后 一 个 HTTP 连 接 完 成 之 后 , 服务 器 在 关闭 连接 之 前 会 等 待 一 定时 间 ( 保 
持 活动 状态 超时 ，keep-alive timeout )。 虽然 一 个 连接 不 会 消耗 太 多 的 资源 , 但 是 启用 长 连接 降低 
了 服务 器 的 总 体 伸缩 性 。 适 用 长 连接 的 场景 , 最 好 是 客户 端 突 发 大 量 的 请 求 。 最 坏 的 情况 是 ， 当 
客户 端 只 发 送 一 个 请 求 ， 并 保持 连接 打开 ， 但 之 后 没 再 发 送 其 他 请 求 。 

警告 

当 配 置 较 大 的 长 连接 超时 时 间 时 ， 限 制 并 发 连接 数 以 免 服务 器 超 负荷 是 至 关 重 要 的 。 
通过 测试 调整 服务 器 ， 使 其 运行 在 容量 限制 内 。 如 果 TLS 是 由 OpenSSL 处 理 的， 请 确 
保 服务 器 正确 设置 SSL MODE RELEASE BUFFERS 标 志 。® 


很 难 推荐 一 个 长 连接 超时 的 时 间 , 因为 不 同 的 网 站 有 不 同 的 使 用 模式 ，60 秒 也 许 是 一 个 不 错 
的 起 点 。 每 个 站 点 可 以 在 监控 用 户 代理 行为 的 基础 上 选择 一 个 更 好 的 时 间 值 。” 

长 连接 超时 是 有 上 限 值 的 , 无 论 服务 器 如 何 设置 , 用 户 代理 都 有 自己 的 最 大 值 。 在 我 的 测试 
中 ,在 Windows 7 上 的 Internet Explorer 11 在 30 秒 后 关闭 了 连接 ，Safari 7 是 60 秒 ， 而 Chrome 35 是 
300 秒 。Firefox 30 默 认 使 用 115 秒 为 长 连接 超时 时 间 ( 在 about:config 里 面 有 个 network.http. 
keepalive.timeout 参 数 )， 除 非 服 务 器 要 求 不 同 的 值 。Firefox 乐 于 与 服务 器 保持 长 连接 ， 直 到 服 
务 器 关闭 连接 为 止 。 
































































































































































































































GD Slowloris HTTP DoS, https://web.archive.org/web/20150315054838/http://ha.ckers.org/slowloris/ ( RSnake 等 ，2009 年 6 
月 17 日 )。 

@ SSL_CTX set mode(3),https:/www.openssl.org/docs/manmasterssVSSL_CTX set mode.html( OpenSSL , 检索 于 2014 

年 7 月 6 日 )。 

@) 这 可 以 通过 记录 每 个 连接 到 Web 服 务 器 的 保持 活动 状态 访问 日 志 来 完成 。 在 第 13 章 和 第 16 章 中 都 说 明了 如 何 配置 。 
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9.1.3 SPDY、HTTP 2.0 以 及 其 他 


启用 TCP 和 HTTP 长 连接 的 收益 只 有 这 么 多 了 。 为 了 更 大 的 提升 ，Google 在 2009 年 开始 试验 
一 个 名 为 SPDY 的 新 协议 ?。 它 在 TCP 层 和 HTTP 层 之 间 引 入 了 一 个 新 的 协议 层 以 提升 速度 。SPDY 
处 在 中 间 层 ， 无 需 修 改 HTTP 本 身 即 可 改善 HTTP 连 接管 理 。 

使 用 SPDY 可 以 复 用 多 个 HTTP 请 求 和 响应 , 这 意味 着 浏览 需 永 远 只 需 与 每 个 服务 器 建立 一 个 
连接 。 单 独 的 HTTP 要 实现 相似 的 性 能 ， 浏 览 器 必须 使 用 多 个 并 行 连接 。 单 个 长 连接 提升 了 TCP 
利用 率 ， 降 低 了 服务 器 的 负载 。 

SPDY 在 各 种 情况 下 显示 出 性 能 改进 , 是 一 个 巨大 的 成 功 。 也 许 最 重要 的 是 ，SPDY 试 验 导 致 
了 全 行业 的 努力 , 设计 了 同一 概念 的 HITP2.02 , 唤醒 了 沉睡 多 年 的 HTTP 协 议 : 上 一 个 版 本 是 1999 
年 发 布 的 HTTP1.1。 

虽然 HTTP2.0 仍 处 于 开发 阶段 ， 但 是 SPDY 可 以 部 署 使 用 。 客 户 端 支持 对 于 新 的 浏览 器 来 说 
都 还 不 错 : Chrome 和 Firefox 都 支持 它 有 很 长 一 段 时 间 了 , 正 浏 览 器 在 2013 年 增加 了 支持 (虽然 只 
在 11 版 在 Windows 8.1 上 运行 )， 而 苹果 公司 宣布 将 在 OS X Yosemite 上 文 持 SPDY。 在 服务 器 端 ， 
流行 的 网 络 服务 平台 ( 如 Apache 和 Nginx ) 要 么 直接 支持 SPDY, 要 么 可 以 进行 扩展 来 支持 SPDY。 

我 们 可 以 预料 到 SPDY 和 HTTP2.0 将 挤 出 TCP 更 多 性 能 ， 但 接 下 来 呢 ? 一 种 选择 是 试图 进一步 
提高 TCP 的 性 能 。 例 如 ，TCP 快 速 打开 ( Fast Open ) 是 一 种 从 TCP 握 手 去 除 一 个 往返 的 优化 技术 。” 
另外 ,我们 可 以 看 看 完全 绕 过 TCP。 另 一 项 以 Google 为 首 的 试验 ， 叫 作 QUIC (quick UDP internet 
connection， 快 速 UDP 网 络 连 接 ) "。 它 是 建立 在 UDP 之 上 的 全 新 可 靠 连接 协议 ， 旨 在 同时 提高 性 
能 (更 好 的 连接 管理 、 拥 塞 控 制 和 丢 包 的 处 理 ) 和 安全 性 ( 默认 情况 下 使 用 加 密 )。 


9.1.4 内 容 分 发 网 络 


如 果 你 维护 一 个 面向 全 球 用 户 的 网 站 ， 就 需要 使 用 内 容 分 发 网 络 (content delivery network， 
CDN ) 来 实现 世界 级 的 性 能 。 一 句 话 概括 ，CDN 是 利用 地 理 上 分 散 的 服务 器 提供 边缘 缓存 和 流 
量 优 化 (通常 也 称 为 广域网 优化 ，WAN optimization ) 来 产生 价值 的 。 

大 多 数 时 候 ， 当 你 需要 扩展 一 个 网 站 时 , 投入 大 量 金钱 对 问题 会 有 所 帮助 。 如 果 你 的 数据 库 负 
载重 到 快 崩溃 了 , 那么 可 以 买 一 台 更 大 的 服务 器 。 如 果 你 的 网 站 无 法 在 一 台 服 务 器 上 运行 , 那么 可 
以 部 署 一 个 集群 。 然 而 , 再 多 的 钱 也 无 法 消除 网 络 延迟 。 用 户 离 你 的 服务 需 越 远 , 访问 网 络 就 越 慢 。 

在 这 种 情况 下 ， 连 接 建 立 是 一 个 很 大 的 限制 因素 。TCP 连 接 以 三 次 握手 开始 ， 这 需要 一 个 往 
返 来 完成 。 然 后 是 TLS 握 手 ， 这 需要 两 个 额外 的 往返 ， 因 此 HTTPS 总 共 要 三 个 往返 。 ”对 于 距离 




































































































































































GD SPDY ，http:/www.chromium.org/spdy/ (The Chromium Projects ， 检 索 于 2014 年 6 月 27 日 )。 

@) HTTP/2，https:/en.wikipedia.org/wikiHTTP 2 ( 维基 百科 ， 检 索 于 2014 年 6 月 27 日 

@@ TCP Fast Open，https:/en.wikipedia.org/wiki/TCP_Fast Open ( 维基 百科 ， 检 索 于 2014 年 6 月 27 日 )。 

@ QUIC，https://en.wikipedia.org/wiki/QUIC ( 维基 百科 ， 检 索 于 2014 年 6 月 27 日 )。 

@) 同样 的 延迟 适用 于 任何 客户 端 先 发 起 的 协议 。 服 务 器 先 发 起 的 协议 延迟 是 2.5 个 往返 ， 因 为 服务 器 可 在 其 Finished 
消息 后 立即 发 送 应 用 程序 数据 。 
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RTT 大 约 30 毫 秒 的 周边 用 户 ， 这 大 约 需 要 消耗 90 毫 秒 ， 但 对 于 距离 很 远 的 用 户 ， 这 个 建立 连接 的 
时 间 将 会 大 得 多 。 

为 了 服务 器 尽 可 能 接近 最 终 用 户 , CDN 典 型 地 经 营 着 大 量 的 地 理 分 布 的 服务 器 。 为 了 达到 就 
近 接 入 ，CDN 降 低 延 迟 通常 有 两 种 方式 ， 即 边缘 缓存 和 连接 管理 。 

口 边缘 缓存 
由 于 CDN 服 务 器 贴近 用 户 ， 可 以 将 你 的 文件 提供 给 用 户 ， 就 像 你 的 服务 器 真 的 在 那里 一 
样 。 有 些 CDN 人 允许 你 推送 文件 给 它们 。 这 种 方法 提供 了 最 好 的 控制 和 性 能 ， 但 它 更 难以 
管理 。 其 他 的 CDN 作 为 反 向 代理 运作 ( 它们 通过 HTTP 检 索 文件 时 ,将 需要 的 文件 缓存 在 
本 地 一 段 时 间 ); 它们 没有 经 过 优化 ， 部 署 比 较 随意 。 
连接 管理 
缓存 对 于 CDN 部 署 是 最 好 的 ， 但 并 不 适合 所 有 的 网 站 。 如 果 你 的 内 容 是 动态 的 、 用 户 特 
定 的 ， 那 么 还 是 需要 你 的 服务 器 提供 实际 的 服务 。 但 是 ， 一 个 不 错 的 CDN 即 使 没有 任何 
缓存 ， 通 过 连接 管理 也 会 有 所 帮助 。 第 一 反应 是 这 似乎 违反 直觉 。 通 过 CDN 与 直接 到 原 
台 服务 器 相 比 会 更 快 吗 ? 答案 是 肯定 的 ，CDN 可 以 通过 复 用 长 时 间 保 持 的 长 连接 消除 大 
部 分 建立 连接 的 成 本 。 
建立 连接 期 间 大 部 分 的 时 间 都 花 在 等 待 上 面 。 你 发 送 一 个 数据 包 ， 并 等 待 响 应 。 当 另 一 
端 在 很 远 的 时 候 ， 你 会 等 待 很久; 但 是 ， 当 另 一 端 在 附近 的 时 候 ， 你 会 得 到 一 个 快速 的 
响应 。 为 了 尽量 减少 等 待 ，CDN 通 过 自己 的 基础 设施 将 流量 路 由 到 距离 目的 地 最 近 的 一 
个 点 。 因 为 是 CDN 自 己 完全 可 挖 的 服务 器 ， 所 以 它 可 以 保持 内 部 连接 很 长 一 段 时 间 。 如 
果 使 用 TCP 协 议 , 这 意味 着 不 存在 连接 建立 ,并且 连接 以 最 大 速度 运行 。 当 然 , 为 了 更 出 
色 的 性 能 ， 它 们 也 可 以 使 用 专 有 协议 和 连接 复 用 。 
当 使 用 CDN 时 ， 用 户 连 接 到 最 近 的 CDN 节 点 ， 这 只 有 很 短 的 距离 。 因 为 距离 短 ，TLS 握 
手 的 网 络 延迟 也 是 很 短 的 , 例如 , 对 于 5$ 毫 秒 的 往返 时 间 , 握手 只 要 15 毫 秒 。 一 个 新 的 TLS 
连接 在 理想 的 情况 下 ，CDN 可 以 复 用 现 有 的 远 距 离 长 连接 ， 从 该 节点 一 路 去 到 最 终 目 的 
地 。 这 意味 着 不 用 其 他 进一步 的 工作 ; 与 CDN 人 快速 初始 TLS 握 手 后 , 用 户 与 服务 器 的 连接 
已 经 有 效 建立 ， 应 用 程序 数据 可 以 开始 传送 。 
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当然 ， 并 不 是 所 有 的 CDN 都 在 这 样 复杂 的 内 部 网 络 运行 ;一旦 决定 使 用 CDN， 就 有 必要 
研究 实施 细则 。 更 好 的 方法 是 测试 CDN 的 实际 性 能 ， 如 图 9-2 所 示 。 
注意 


并 非 所 有 CDN 都 是 一 样 快 的 ,特别 是 对 于 本 章 提 及 的 TLS 性 能 最 住 实践 。 在 你 决定 使 
用 哪个 CDN 之 前 , 一 定 要 检查 它们 是 否 支持 最 快 的 TLS 速 度 。Ilya Grigor 六 致力 于 提高 
TLS 性 能 ， 并 在 他 的 网 站 维护 了 一 个 CDN 对 比 图 表 。” 











QD CDN & PaaS performance, https://istlsfastyet.com/#cdn-paas ( Is TLS Fast Yet? ,检索 于 2014 年 6 月 27 日 )。 
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直接 TLS 连 接 设置 
3x90ms=270ms 
通过 CDN 进 行 的 TLS 连 
接 设置 (使 用 连接 池 ) 用 局 5 ms RTT 
3x5ms=15ms Ce 
伦敦 





5458 km / 3391 mi 


服务 器 联合 往返 时 间 (RTT) 




















图 9-2 ”对 于 通过 CDN 进 行 连接 和 直接 连接 这 两 种 方式 ，TLS 建 立 连接 的 耗 时 对 比 





9.2 TLS 协议 优化 


在 连接 管理 之 后 我 们 开始 专注 于 TLS 的 性 能 特征 ， 以 使 你 在 理解 影响 TLS 性 能 的 每 个 方面 之 
后 ,具备 对 TLS 协 议 进行 安全 和 速度 调 优 的 知识 。 


9.2.1 密 钥 交换 


使 用 TLS 最 大 的 成 本 除了 延迟 以 外 ， 就 是 用 于 安全 参数 协商 的 CPU 密集 型 加 密 操作 。 这 部 分 
通讯 称 为 密 钥 交换 (key exchange )。 密 钥 交 换 的 CPU 消耗 很 大 程度 上 取决 于 服务 器 选择 的 私 钥 算 
法 、 密 钥 长 度 和 密 钥 交 换算 法 。 
口 密 钥 长 度 
为 了 实现 安全 ， 密 码 学 依赖 进程 对 相关 密 钥 的 相对 快速 的 访问 ， 否 则 成 本 会 非常 高 ， 也 
非常 消耗 时 间 。 破 解密 钥 的 难度 取决 于 密 钥 的 长 度 ， 密 钥 越 长 越 安 全 。 但 较 长 的 密 钥 同 
时 也 意味 需要 花费 更 多 时 间 进 行 加 密 和 和 解密。 为 了 达到 最 好 的 效果 ， 选 择 刚 好 满足 安全 
要 求 等 级 的 密 钥 长 度 就 好 。 
口 密 钥 算法 
目前 你 有 两 种 私 钥 算法 可 以 使 用 : RSA 和 ECDSA。? 在 过 去 很 长 一 段 时 间 里 ，RSA 是 唯一 
的 选择 ， 因 此 到 现在 RSA 依 旧 是 最 主要 的 算法 。 当 前 RSA 密 钥 算 法 推荐 最 小 长 度 2048 位 ， 
并 且 考 虑 到 将 来 会 更 多 部 署 3072 位 ，RSA 开 始 变 得 越 来 越 慢 。ECDSA 会 快 很 多 ， 因 此 越 
来 越 有 吸引 力 了 。 中 等 长 度 256 位 的 ECDSA 提 供与 3072 位 RSA 一 样 的 安全 性 , 却 有 更 好 的 
性 能 。 













































































@ 虽然 该 协议 包括 许多 DSA ( DSS ) 套件 ，DSA 密 钥 长 度 2048 或 者 更 高 并 没有 得 到 广泛 支持 。 最 大 长 度 值 为 1024 位 
是 不 安全 的 。 
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口 密 钥 交换 
理论 上 你 有 三 种 密 钥 交换 算法 可 以 选择 : RSBA、DHE 和 ECDHE。RSA 不 提供 前 向 保密 ， 
因此 不 推荐 使 用 。 在 剩 下 的 两 个 算法 中 ，DHE 太 慢 ， 你 只 能 选择 ECDHE。 
DHE 和 ECDHE 密 钥 交换 算法 的 性 能 取决 于 配置 的 协商 参数 长 度 . 对 于 DHE ,常用 的 是 1024 
位 和 2048 位 的 ,分 别提 供 80 和 112 位 安全 等 级 。 对 于 ECDHE, 安全 和 性 能 取决 一 种 称 为 曲 
线 的 东西 。secp256r1 曲 线 提供 128 位 安全 等 级 。 另 一 个 选择 就 是 secp384r1 曲 线 ， 比 
secp256r1 曲 线 在 服务 器 端 要 慢 30%， 带 来 的 安全 性 提升 却 没有 太 大 的 意义 。 

你 在 实践 中 不 能 随意 组 合 私 钥 和 密 钥 交 换算 法 ， 而 是 可 以 使 用 由 协议 指定 的 组 合 。 一 共有 4 



























































种 可 能 : RSA、DHE RSA、ECDHE RSA 和 ECDHE ECDSA。 为 了 更 好 理解 这 些 套件 的 性 能 


忆 
才 ， 





我 针对 2048 位 RSA 密 钥 和 256 位 ECDSA 密 钥 分 别 运行 了 4 种 套件 的 测试 。 这 些 会 是 你 期 望 用 





于 网 站 的 密 钥 长 度 。DHE 密 钥 交 换代 表 两 种 DH 参数 长 度 : 1024 位 和 2048 位 。ECDHE 密 钥 交换 使 
用 secp256r1 曲 线 。 


序 @ 


我 使 用 配备 Intel XeonE5-2670 2.5 GHZ 处 理 器 的 Amazon EC2 m3.large 实 例 进行 测试 。 测 试 程 
是 在 Vincent Bernat 的 OpenSSL 轻 量 级 压 测 工具 ”基础 上 修改 的 。 我 测试 了 Ubuntu 14.04 LTS 附 














带 的 OpenSSL 1.0.1f。 压 测 工具 启动 两 个 进程 (一 个 客户 端 ， 一 个 服务 器 )， 顺 序 执行 1000 次 TLS 
握手 并 且 在 进程 最 后 对 CPU 使 用 率 进行 测量 。 你 会 在 图 9-3 中 看 到 结论 。 














从 测试 结果 我 们 可 以 得 到 以 下 结论 。 

口 使 用 RSA 算 法 的 服务 器 可 以 通过 配置 ECDHE 密 钥 交 换算 法 和 ECDSA 私 钥 来 启用 前 向 保 

密 ， 并 且 提 升 握手 性 能 。 

口 启用 前 向 保密 ( 使 用 ECDHE 密 钥 交 换算 法 ) 同时 保留 RSA 私 钥 身 份 验证 会 稍微 降低 握 子 

性 能 ， 但 对 整体 性 能 没有 太 大 影响 。 

口 DHE 密 钥 交 换 即 使 是 安全 性 较 差 的 1024 位 参数 也 比较 慢 ， 并 且 安 全 性 较 高 的 2048 位 参数 
则 会 更 慢 。 如 果 你 在 意 性 能 ，DHE 应 该 作为 最 后 的 选择 。 因 为 新 的 客户 端 支 持 ECDHE， 
你 可 以 给 DHE 套 件 设置 较 低 的 权重 , 以 便 只 给 老 版 本 的 客户 端 使 用 。Twitter 数 据 显 示 75% 
的 客户 端 使 用 ECDHE, “意味 着 高 达 25% 的 客户 端 可 能 使 用 较 慢 的 DHE。 

口 DHE 密 钥 交换 算法 取决 于 使 用 的 参数 长 度 ， 与 ECDHE 密 钥 交 换 相 比 ， 会 让 服务 器 端 握手 
增加 320 到 450 字 节 。 这 是 因为 ECDHE 密 钥 交换 由 名 称 引用 标准 化 参数 ， 但 是 DHE 密 钥 交 
换 需要 服务 器 每 次 都 选择 协商 参数 发 送 给 客户 端 。” 

口 在 使 用 ECDHE 和 ECDSA 的 时 候 客户 端 会 有 更 多 的 开销 , 但 这 不 是 问题 ， 因 为 客户 端 在 某 
一 时 候 只 会 发 起 少量 连接 。 相 反 ， 服 务 需 不 得 不 并 行 处 理 成 千 上 万 的 连接 。 
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GD ivanr/ssl-dos，https://github.com/ivanr/ssl-dos( GitHub ， 检 索 于 2014 年 6 月 27 日 )。 

@) SSL/TLS & Perfect Forward Secrecy, http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html ( Vincent 
Bernat，2011 年 11 月 28 日 )。 

@) Forward Secrecy at Twitter, https://blog.twitter.com/2013/forward-secrecy-at-twitter ( Jacob Hoffman-Andrews，2013 

年 11 月 22 日 )。 

由 我 在 2.3 节 中 论述 了 密 钥 交 换 消息 的 结构 。 
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ECDSA 256, ECDHE 256 


RSA 2048, ECDHE 256 


RSA 2048, DHE 2048 


RSA 2048, DHE 1024 


RSA 3072 


RSA 2048 






































0 2 4 6 8 10 12 CPU 时 间 
( 秒 ) 
客户 端 国 国 服务 器 
图 9-3 ”TLS 各 种 密 钥 交换 算法 性 能 对 比 ( 条 形 越 短 性 能 越 好 ) 


注意 





这 里 呈现 的 测试 结果 只 作 参 考 ， 客户 端 和 服务 器 都 使 用 特定 的 OpenSSL 版 本 。 实 际 上 


不 同 版 本 的 TLS 对 应 不 同 的 依赖 库 、 设 备 和 CPU， 





我 建议 查阅 Huang 等 关于 前 向 保密 部 署 的 性 能 研究 报告 
能 。 "另外 Symantec 在 2013 年 白皮书 里 关于 椭圆 曲线 加 密 算 法 性 能 的 讨论 也 是 一 份 很 好 的 参考 资 





QD An Experimental Study of TLS Forward Secrecy Deployments ，ht 


( Huang 等 ，2014 年 )。 





会 有 显著 的 性 能 差异 。 





， 以 进一步 了 解 更 详细 的 密 钥 交换 性 





tps://www.linshunghuang.com/papers/ecc-pfs.pdf 


© Elliptic Curve Cryptography (ECC) Certificates Performance Analysis , http://www.symantec.com/content/en/us/ 
enterprise/white_papers/b-wp_ecc.pdf (Kumar 等 ，2013 年 6 月 12 日 )。 
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False Start 

Google 在 2010 年 提议 修改 TLS 协 议 ， 将 完整 握手 的 延迟 从 两 次 往返 减少 到 一 次 。" 通 常情 
况 下 ， 一 次 完整 的 TLS 握 手 需要 两 次 往返 ， 包 含 4 个 协议 消息 碎片 (客户 端 和 服务 器 各 2 个 )， 
TLS 只 允许 在 完整 握手 完成 之 后 才 开始 发 送 加 密 的 应 用 数据 。False Start 建 议 调整 协议 消息 的 
时 间 ， 假 设 握手 会 成 功 ， 在 完整 握手 完成 之 前 我 们 就 可 以 开始 发 送 应 用 数据 。 

False Start 这 个 改变 让 性 能 提升 有 了 可 能 .Google 举 证 False Start 可 以 减少 30% 的 握手 延迟 ， 
这 是 很 了 不 起 的 。 ?这 个 改变 通常 是 没 问 题 的 ; 副作用 是 ， 如 果 受 到 攻击 ， 客户 端 会 将 加 密 数 
据 发 送 给 攻击 者 。 此 外 ， 完 整 的 握手 完成 之 后 才 可 以 进行 完整 性 验证 ， 用 于 加 密 的 参数 有 可 
能 已 经 被 攻击 者 修改 。 

为 了 应 对 这 种 攻击 向 量 , Google 建议 只 对 足够 安全 的 加 密使 用 False Start: 私 钥 足够 强大 、 
支持 前 向 保密 密 钥 交换 算法 和 128 位 安全 等 级 的 密码 套件 。 在 不 需要 强 密 钥 交 换 时 ， 这 会 留 下 
漏洞 。 在 之 后 的 2015 年 5 月 ， 一 个 称 为 Logjam 的 攻击 (6.5 节 中 对 该 攻击 进行 了 介绍 ) 表明 ， 
主动 的 攻击 者 有 可 能 迫使 支持 False Start 的 浏览 器 发 送 低 至 512 位 安全 性 保护 的 HTTP 请 求 。 

尽管 有 性 能 提升 ，Google 还 是 在 2012 年 宣布 False Start 失 败 了 ， 因 为 互联 网 上 有 太 多 不 兼 
容 的 服务 器 。 ?不 过 Google 并 没有 完全 停止 它 , Chrome 浏 览 器 在 服务 器 端 实现 NPN 扩 展 的 情况 
下 (用 于 协商 SPDY 协 议 ， 现 已 被 ALPN 取 代 ) 继续 使 用 False Start， 这 被 认为 是 安全 的 。 其 他 
浏览 器 遵循 和 采用 了 类 似 的 行为 。Firefox 浏 览 器 从 28 版 本 开始 支持 False Start*， 触 发 条 件 与 
Chrome 相 同 。Apple 在 OS 又 10.9 中 增加 了 这 个 支持 ,条件 是 强大 的 密码 套件 和 前 向 保密 ， 但 
不 需要 NPN。 IE 浏 览 器 从 10 版 本 开始 支持 ， 按 照 原来 的 建议 实现 False Start， 对 不 支持 的 网 
站 加 入 黑 名 单列 表 以 禁用 。” 

False Start 对 于 支持 前 向 保密 是 很 大 的 激励 。 使 用 False Start 不 仅 安 全 性 明显 更 好 ， 而 且 性 
能 也 得 到 了 提升 。 








9.2.2 证书 
一 次 完整 的 TLS 握 手 期 间 ， 服 务 器 会 把 它 的 证 书 链 发 送 给 客户 端 验证 。 证 书 链 的 长 度 和 正确 



































QD TLS False Start, https://tools.ietf.org/html/draft-bmoeller-tls-falsestart-00 ( Langley 等 ，2010 年 6 月 )。 

@) SSL False Start Performance Results, http://blog.chromium.org/2011/05/ssl-falsestart-performance-results.html ( Mike 
Belshe，The Chromium Blog，2011 年 5 月 18 日 )。 

@) False Start’s Failure, https:/www.imperialviolet.org/2012/04/11/falsestart.html ( Adam Langley，2012 年 4 月 11 日 )。 

(@ Re-enable TLS False Start, https://bugzilla.mozilla.org/show_bug.cgi?id=942729 ( Bugzilla@Mozilla, bug #942729 )。 

@) sslTransport.c, http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslTransport.c ( Apple 
Secure Transport 源 代码 ， 检 索 于 2014 年 5 月 5 日 )。 

(oO Networking Improvements in IE10 and Windows 8, http://blogs.msdn.com/b/ieinternals/archive/2012/08/01/internet- 























explorer-10-network-performance-improvements-first-available-pre-resolve-pre-connect-caching.aspx ( Eric Lawrence, 
IEInternals，2012 年 8 月 1 日 )。 
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性 对 握手 的 性 能 有 很 大 影响 。 


口 


口 


口 


口 


口 


使 用 尽 可 能 少 的 证 书 

证 书 链 里 的 每 个 证 书 都 会 增 大 握手 数据 包 。 正 如 前 面 讨论 过 的 那样 ， 证 书 链 包含 太 多 证 
书 有 可 能 会 导致 TCP 初 始 拥塞 窗 口 溢 出 。 在 SSL 早 期 的 时 候 , CA 会 直接 使 用 根 证 书 进行 服 
务 器 证 书签 发 ， 但 这 是 非常 危险 的 〈 根 证 书 私 钥 应 该 离线 保存 )， 已 经 逐步 被 弃 用 。 现 在 
你 的 证 书 链 里 面 最 好 有 两 个 证 书 : 一 个 服务 器 证 书 和 一 个 签发 CA 的 证 书 。 

证 书 链 长 度 并 不 是 唯一 的 要 素 ; 证 书 链 中 的 每 个 证 书 必 须 验证 签名 与 签发 证 书 里 的 公 铀 
匹配 。 用 户 代 理 决定 是 否 还 要 对 每 个 证 书 的 吊销 状态 进行 检查 。 

虽然 我 不 会 建议 你 基于 证 书信 任 链 的 长 度 选择 CA， 但 你 还 是 需要 提前 检查 一 下 证 书 链 是 
否 太 长 。 

只 包含 必需 的 证 书 

证 书 链 里 面包 含 非 必需 的 证 书 是 一 个 常见 错误 。 每 个 这 样 的 证 书 会 给 握手 消息 额外 增加 
1~2 KB。 
通常 根 证 书 也 会 被 包含 在 里 面 ， 虽 然 并 无 用 处 。 用 户 代理 要 么 信任 根 证 书 (已 经 内 置 有 
一 份 根 证 书 的 备份 )， 要么 不 信任 。 证 书 链 里 面 是 否 包含 根 证 书 并 无 区 别 。 这 是 一 个 很 普 
遍 的 问题 ， 因 为 甚至 一 些 CA 的 安装 说 明 里 面 也 把 他 们 的 根 证 书包 含 进 去 了 。 

其 他 情况 可 能 是 因为 配置 错误 导致 的 非 必需 证 书 。 有 种 情况 并 不 常见 ， 服 务 器 证 书 链 包 
含 之 前 证 书 遗 留 下 来 的 中 间 证 书 。 在 某 些 罕见 的 情况 下 ， 服 务 器 发 送 的 证 书 链 里 面包 含 
数 百 个 证 书 。 

提供 完整 的 证 书 链 

对 于 可 信任 的 TLS 连 接 ,， 服务 器 必须 提供 一 个 被 根 证 书信 任 的 完整 证 书 链 。 另 一 种 常见 错 
误 是 提供 不 完整 的 证 书 链 。 尽 管 有 些 用 户 代理 可 以 取得 缺失 的 证 书 ， 但 这 些 会 涉及 额外 
的 HITP 查 询 ， 可 能 需要 花费 数秒 时 间 。 确 保证 书 链 有 效 才 能 达到 最 佳 效 果 。 

使 用 椭圆 曲线 证 书 链 

因为 ECDSA 私 钥 长 度 使 用 更 少 的 位 ， 所 以 ECDSA 证 书 会 更 小 。Huang 等 ( 2014 年 ) 观察 
到 256 位 的 ECDSA 证 书 链 比 2048 位 的 RSA 证 书 链 大 约 要 小 1 KB。 

小 心 同一 张 证 书 绑 定 过 多 域名 

近来 几 十 个 网 站 共享 一 张 证 书 是 比较 普遍 的 ， 在 某 些 情况 下 其 至 还 有 数 百 个 网 站 共享 一 
张 证 书 的 。 这 样 允 许多 个 网 站 共享 同一 个 IP 地 址 ,以 便 支 持 那 些 不 支持 虚拟 安全 网 站 [ 通 
过 服务 器 名 称 扩展 ( server name extension ) 或 者 SNI ] 的 客户 端 访问 。 每 增加 一 个 域名 都 
会 增加 证 书 的 大 小 。 少 量 域名 不 会 有 明显 的 影响 ， 但 是 数 百 个 域名 就 有 可 能 。 

如 果 你 想 多 个 网 站 在 同一 个 下地 址 上 又 同时 保持 最 小 握手 长 度 ， 有 个 技巧 : (1) 对 于 文 持 
SNI 的 客户 端 , 在 Web 服 务 器 上 为 每 个 域名 配置 单独 的 证 书 。C) 取得 一 份 你 想 共 享 相同 IP 
地 址 的 全 部 域名 的 后 备 证 书 ， 在 Web 服 务 器 上 配置 以 便 支 持 那些 不 支持 SNI 的 客户 端 。 如 
果 你 这 么 做 ,支持 SNI 的 客户 端 ( 占 主要 部 分 ) 可 以 取 到 它们 要 访问 网 站 的 独立 证 书 ， 其 
他 客户 端 (少数 遗留 的 ) 会 取得 一 个 较 大 的 多 域名 证 书 。 







































































































































































242 第 9 章 性 能 优化 





* 趴 
上 


当 需 要 对 客户 端 进行 身份 验证 时 ， 你 可 以 配置 服务 器 通告 ， 只 接受 哪些 CA 签发 给 客 
户 端的 证 书 。 每 一 个 这 样 的 CA 等 同 于 它 的 可 分 辨 名 称 。 如 果 配 置 了 太 多 CA， 这 个 列 
表 运 行 时 可 能 有 几 KB ， 会 降低 性 能 。 出 于 性 能 原因 ， 你 可 以 避免 配置 通告 可 接受 的 
CA， 因 为 它 是 可 选 的 。 


9.2.3 ”吊销 检查 


虽然 证 书 吊销 状态 在 不 断 变化 ， 并 且 用 户 代理 对 证 书 吊销 的 行为 差异 很 大 ， 但 作为 服务 器 ， 
要 做 的 就 是 尽 可 能 快 地 传递 吊销 信息 。 实 际 操 作 中 转化 为 以 下 这 些 规 则 。 
口 使 用 带 OCSP 信 息 的 证 书 
OCSP 被 设计 用 于 提供 实时 查询 ， 允 许 用 户 代 理 只 请 求 访问 网 站 的 吊销 信息 。 因 此 查询 简 
短 而 快速 (一 个 HTTP 请 求 )。 相 比 之 下 CRL 是 一 个 包含 大 量 被 吊销 证 书 的 列表 。 一 些 用 户 
代理 只 有 当 OCSP 信 息 不 可 用 的 时 候 才 下 载 CRL， 这 种 情况 下 浏览 器 与 你 的 网 站 的 通信 将 
被 暂停 ， 直到 CRL 下 载 完 成 。 几 十 秒 的 延迟 都 不 少见 , 尤其 是 通过 慢 速 的 网 络 连接 时 ( 想 
想 移动 设备 )。 
口 使 用 具有 快速 且 可 靠 的 OCSP 响 应 程序 的 CA 
不 同 CA 之 间 的 OCSP 响 应 程序 性 能 也 有 所 不 同 。 缓 慢 和 错误 的 OCSP 响 应 程序 会 潜在 地 导 
致 性 能 下 降 ， 这 个 现实 被 隐藏 了 很 长 一 段 时 间 。 在 你 向 CA 提交 之 前 先 检查 他 们 的 历 史 
人 更 多 信息 参考 5.10.4 节 的 “响应 程序 可 用 性 和 性 能 ”部 分 。 
一 个 选择 CA 的 标准 是 它 更 新 OCSP 响 应 程序 的 速度 。 为 了 避免 网 站 错误 , 你 希望 自己 的 
被 颁发 就 加 入 到 OCSP 响 应 程序 中 。 令 人 费解 的 是 ， 有 些 CA 对 于 新 证 书 的 OCSP 更 
新 拖延 很 入 ， 这 个 期 间 OCSP 响 应 程序 都 会 返回 错误 。 
口 部 署 OCSP stapling 
OCSP stapling 是 一 种 允许 在 TLS 握 手中 包含 吊销 信息 (整个 OCSP 响 应 ) 的 协议 功能 。 启 
用 OCSP stapling 之 后 ， 通 过 给 予 用 户 代理 进行 吊销 检查 的 全 部 信息 以 带 来 更 好 的 性 能 。 
OCSP stapling 增 加 握手 大 约 450 字 节 ， 会 让 握手 略微 变 慢 ， 但 可 以 省 去 用 户 代理 通过 独立 
的 连接 获取 CA 的 OCSP 响 应 程序 来 查询 吊销 信息 。 
OCSP 响 应 大 小 因 签 发 CA 的 实际 部 署 不 同 而 不 同 。 与 最 终 实体 证 书 (正在 检查 吊销 的 ) 具 
有 相同 CA 签名 的 OCSP 响 应 会 比较 简短 。 因 为 用 户 代理 已 经 有 签发 CA 的 证 书 ,， OCSP 响 应 
可 以 只 包含 吊销 状态 和 签名 。 
一 些 CA 喜欢 使 用 不 同 的 证 书 对 OCSP 响 应 进行 签名 。 因为 用 户 代 理事 先 并 不 知道 其 他 证 书 ， 
CA 必须 将 它们 包含 在 每 个 OCSP 响 应 里 面 。 这 会 给 OCSP 响 应 略微 增加 超过 1 KB 的 大 小 。 


注意 
当 浏 览 器 跳 过 吊销 状态 检查 时 ， 虽 然 会 获得 更 好 的 性 能 ， 但 也 面临 安全 风险 。EV 证 
书 始终 检查 吊销 状态 以 提供 更 好 的 安全 性 。DV 证 书 不 总 是 检查 吊销 状态 ， 可 能 有 轻 































































































































































































9.2 TLS 协议 优化 243 





| 微 的 性 能 优势 。 这 个 问题 可 以 通过 OCSP stapling 让 两 种 类 型 的 证 书 都 有 相同 的 性 能 来 
解决 。 


9.2.4 会 话 恢复 


TLS 理 解 两 种 类 型 的 握手 : 完整 握手 和 简短 握手 。 理 论 上 完整 握手 只 会 在 客户 端 与 服务 器 建 
YTLS 会 话 (TLS session ) 的 时 候 进 行 一 次 。 后 续 的 连接 ， 双 方 使 用 简短 握手 恢复 之 前 协商 的 会 
话 。 简短 握手 因为 不 需要 花费 昂贵 的 加 密 操 作 会 更 快 , 并 且 少 一 次 往返 时 间 。 一 个 良好 的 恢复 率 
可 以 降低 服务 器 负载 并 且 缩 短 最 终 用 户 的 延迟 。 

TLS 会 话 恢复 由 通讯 的 双方 共同 控制 。 你 这 边 的 目标 应 该 是 配置 会 话 缓存 ， 让 各 个 会 话 有 效 
期 在 一 天 左右 。 除 此 之 外 , 剩 下 就 是 由 客户 端 决 定 何 时 恢复 会 话 ,， 何 时 开始 一 个 新 的 会 话 。 我 的 
个 人 经 验 以 及 其 他 证 据 表 明 ， 你 可 以 期 符合 理 配置 的 服务 器 有 50% 的 会 话 恢复 率 。 


9.2.5 “传输 开销 


TLS 协 议 的 最 小 传输 单位 是 一 个 TLS 记 录 , 它 最 多 可 以 包含 16 384 字 节 的 数据 。TLS 记 录 在 不 
加 密 的 情况 下 做 的 事情 不 多 ， 只 有 一 点 小 的 开销 ; 每 个 记录 以 5$ 字 节 的 元 数据 开头 : 内 容 类 型 (1 
字 节 )、 协 议 版 本 〈2 字 节 ) 和 数据 长 度 (2 字 节 )。 流 加 密 、 分 组 加 密 和 已 验证 密码 套件 的 TLS 记 
录 开 销 如 图 9-4 所 示 。 
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图 9-4” 流 加 密 、 分 组 加 密 和 已 验证 密码 套件 的 TLS 记 录 开 销 

加 密 和 数据 完整 性 算法 引入 额外 的 开销 , 因 协 商 时 不 同 的 密码 套件 而 不 同 。 流 加 密 产 生 较 小 
的 开销 ， 因 为 它 是 输入 一 字 节 输出 一 字 节 ;开销 只 来 源 于 完整 性 校 验 。 

分 组 密码 有 更 多 的 开销 ， 因 为 每 个 TLS 记 录 需 要 增加 一 个 与 加 密 块 大 小 一 样 的 显 式 向 量 ， 并 
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且 填 充 使 得 明文 长 度 正 好 变 成 若干 个 加 密 块 的 大 小 。 填 充 的 长 度 由 数据 长 度 决定 , 但 平均 有 二 分 
之 一 的 块 大 小 。 当 前 最 安全 加 密 算法 都 设计 了 16 字 节 的 块 大 小 。 
自 带 完整 性 验证 的 加 密 算 法 的 传输 开销 处 于 中 间 位 置 : 它们 不 使 用 填充 , 但 每 个 记录 包含 了 








一 个 8 字 节 的 随机 数 。 
表 9-1 显 示 了 最 常用 密码 套件 的 开销 。 

















表 9-1 各 种 广泛 使 用 的 加 密 算 法 传输 开销 





加 密 算法 TLS 记 录 初始 向 量 /Nonce 
AES-128-CBC-SHA 5 16 
AES-128-CBC-SHA256 5 16 
AES-128-GCM- SHA256 5 8 
AES-256-CBC-SHA 5 16 
AES-256-CBC-SHA256 5 16 
AES-256-GCM- SHA384 5 8 
CAMELLIA-128-CBC 5 16 
3DES-EDE-CBC- SHA 5 8 
RC4-128-SHA 5 至 
SEED-CBC-SHA 5 16 











填充 平均/ 最大) HMAC/Tag 总 计 〈 平 均 ) 

8/16 20 49 
8/16 32 61 
一 16 29 
8/16 20 49 
8/16 32 61 
-- 16 29 
8/16 20 49 
4/8 20 37 
- 20 25 
8/16 20 49 


正如 你 所 见 ， 不 同 密码 套件 之 间 的 开销 差异 很 大 。 最 坏 的 情况 是 ， 使 用 AES 和 SHA256 的 套 























件 平均 增加 61 字 节 开 销 。 最 好 的 情况 是 ， 


层 的 开销 相 比 并 不 算 大 ; TCP/IP 开 销 是 每 个 IPv4 包 52 字 节 ， 每 个 IPv6 包 72 字 节 。 
大 约 在 1500 字 节 ， 但 是 每 个 TLS 记 录 可 以 大 到 16 384 字 节 ， 























F 模 式 的 密码 套件 只 增加 29 字 节 。 这 些 开销 和 





已 验 训 


下 一 


每 个 IP 包 的 大 小 











很 明显 TCP 比 TLS 造 成 更 多 的 开销 。 





无 论 哪 种 方式 ， 如 果 可 能 ,你 应 该 避免 发 送 小 包 数 据 。 绥 冲 应 用 层 数据 以 确保 更 小 的 网 络 开 
销 是 必要 的 ， 除 非 需要 实时 传递 得 消息 。 例 如 动态 构建 一 个 HTML 页 面 的 时 候 ， 最 好 使 用 小 的 输 
出 缓冲 , 4KB 足 以 让 微小 的 数据 包 合并 成 一 个 大 的 数据 包 发 送 。 我 见 过 一 些 错误 配置 的 应 用 , 让 
每 个 数据 写 人 (仅仅 是 很 少 的 字 节 ) 产生 一 个 TCP 包 ,造成 了 巨大 的 网 络 开销 。 这 类 问题 在 直接 
使 用 套 接 字 而 不 是 基于 Web 应 用 程序 框架 、 基 础 库 实现 的 时 候 更 加 普遍 。 














如 有 果 你 对 自己 的 应 用 程序 行为 不 确定 ( 这 并 不 























可 以 在 网 络 层 捕获 流量 以 观察 TCP 包 和 TLS 记 录 大 小 。 








9.2.6 ”对 称 加 密 


FE 见 ， 现 在 我 们 的 软件 一 般 都 有 多 层 抽 象 )， 


关于 CPU 消 耗 ， 一 旦 TLS 握 手 完 成 ， 就 代表 最 坏 的 情况 已 经 过 去 了 。 用 于 对 称 加 密 的 加 密 操 
作 有 明显 的 CPU 成 本 ， 它 由 加 密 算法 、 加 密 模 式 和 完整 性 校 验 功能 决定 。 



































为 了 确定 各 种 密码 套件 的 性 能 特征 , 我 用 与 本 章 前 面相 同 的 环境 进行 了 进一步 的 测试 。 我 明 


确 选 择 一 个 支持 AES-NI 指 令 集 的 处 理 器 ， 为 AES 加 密 提 供 硬件 加 速 。 "希望 在 意 性 能 的 网 站 使 用 





@ 如 果 你 要 购买 硬件 ,请 检查 CPU 的 规格 来 确定 对 AES-NI 的 支持 。 在 云 环境 中 , 你 同样 能 够 通过 检查 供 























来 确定 。 在 运行 中 的 Linux 服 务 器 上 可 以 在 /proc/cpuinfo 中 查找 aes 标 志 。 





应 商 的 文档 
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类 似 的 硬件 进行 操作 。 每 个 测试 运行 由 两 个 线程 组 成 〈 一 个 用 于 客户 端 ， 另 一 个 用 于 服务 器 )， 
向 另 一 端 发 送 大 约 1 GB 数 据 ， 每 次 发 16KB。 我 测试 了 当前 全 部 实用 并 且 安 全 的 密码 套件 ， 同 时 
也 有 一 些 过 时 的 套件 作对 比 ， 如 图 9-5 所 示 。 























3DES-EDE-CBC-SHA 12.47 (+1147%) 


SEED-CBC-SHA .08 (+408%) 
















CAMELLIA-128-CBC 2.17 (+177%) 
AES-256-CBC-SHA256 2.13 (+113%) 
AES-128-CBC-SHA256 2.03 (+103%) 

RC4-128-SHA .30 (+30%) 


AES-256-CBC-SHA 1.08 (+8%) 





AES-128-CBC-SHA 1.00 


AES-256-GCM-SHA384 0.73 (-27%) 


AES-128-GCM-SHA256 





(-30%) 

















0 1 色 4 6 8 10 12 14 相对 于 
AES-128-CBC-SHA 











图 9-5 ”各 种 密码 套件 性 能 基于 AES-128-CBC-SHA 的 对 比 ( 越 短 性 能 越 好 ) 


我 决定 把 AES-128-CBC 作 为 参考 基准 ， 因 为 它 在 依旧 安全 的 密码 套件 里 面 是 最 普遍 被 使 用 的 。 
研究 结果 非常 有 意思 。 
口 AES 很 明显 是 性 能 冠军 。 即 使 没有 硬件 加 速 ，AES 还 是 比 除了 RC4 之 外 的 其 他 加 密 算法 要 
快 。 使 用 硬件 加 速 的 AES-128-CBC 比 CAMELLIA-128-CBC 要 快 2.77 倍 。CAMELLIA-128-CBC 与 最 
快 的 AES 算 法 AES-128-GCM-SHA256 相 比 要 慢 4 倍 。 
口 在 TLS 1.2 中 定义 的 AES 和 SHA256 相 当 慢 ， 因 为 SHA256 比 SHA 要 慢 很 多 。 
口 在 已 验证 ( authenticated ，GCM ) 模式 下 的 AES-128 比 AES-128-CBC 要 快 1.4 倍 ， 甚 至 比 以 前 
的 性 能 冠军 RC4-128-SHA 还 要 快 。 这 是 非常 鼓舞 人 心 的 ， 同 时 AES-128 已 验证 模式 也 是 当 
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前 可 用 的 最 安全 的 算法 之 一 。 
口 旧 的 3DES 和 SEED 套 件 要 慢 好 多 倍 , 应 该 避免 使 用 。RC4 虽 然 相 当 快 但 不 安全 , 也 应 该 避 

免 使 用 。 
虽然 我 们 倾向 于 投入 大 量 时 间 对 服务 器 进行 压 测 , 但 客户 端的 性 能 还 是 要 留意 的 。 较 新 版 本 
的 笔记 本 可 能 已 经 支持 硬件 加 速 AES, 但 是 还 有 大 量 动 力 不 足 的 移动 设备 没有 支持 。 出 于 这 个 原 
因 ，Google 当 前 试验 了 一 个 名 为 ChaCha20-Poly1305 的 新 已 验证 密码 套件 。" 虽 然 它 只 有 硬件 加 速 
的 AES 的 一 半 速 度 ， 但 在 移动 设备 上 有 3 倍 的 性 能 提升 ， 并 且 后 续 还 有 提升 的 空间 。Google 已 经 
广泛 使 用 这 个 新 的 加 密 算法 ,但 我 们 还 必须 等 标准 化 进程 完成 。” 




































































9.2.7 TLS 记录 缓存 延迟 


回顾 前 面 的 讨论 , TLS 记 录 是 TLS 发 送 和 接收 数据 的 最 小 单位 。 TLS 记 录 的 大 小 与 下 一 层 TCP 
包 的 大 小 并 不 匹配 ， 一 个 全 尺寸 的 TLS 记 录 16 KB 需要 被 拆 分 成 许多 小 的 TCP 包 ， 通 常 每 个 小 于 
1.5 KB ( 如 图 9-6 所 示 )。 


























立 用 有 效 载 荷 G2 KB) 











TCP 包 



































图 9-6 ”使 用 TLS 和 TCP 传 输 32 KB 的 应 用 程序 数据 的 碎片 示例 


有 一 点 需要 注意 : 虽然 整个 TLS 记 录 的 各 个 碎片 陆续 会 到 达 ， 但 在 全 部 到 齐 之 前 是 无 法 进行 

处 理 的 。 这 是 因为 TLS 记 录 同 样 是 数据 解密 和 完整 性 检验 的 最 小 单位 。 这 个 缓存 有 时 可 能 会 导致 
延迟 增加 。 
口 委 包 和 延迟 
虽然 TCP 可 以 把 丢失 和 延迟 的 数据 包 恢 复 , 但 这 仍然 需要 消耗 一 次 往返 。 每 一 次 额外 的 往 


返 对 于 整个 TLS 记 录 都 意味 着 延迟 ， 不 仅仅 是 丢 包 。 





















































GTLS Symmetric Crypto, https:/www.imperialviolet.org/2014/02/27/tlssymmetricerypto.html ( Adam Langley，2014 年 2 
月 27 日 )。 

© The ChaCha20-Poly1305 AEAD Cipher for TLS , https://datatracker.ietf.org/doc/draft-ietf-tls-chacha20-poly1305/ 
(Langley 等 ，2015 年 6 月 )。 
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口 初始 拥塞 窗口 
另 一 个 触发 额外 往返 的 延迟 是 在 连接 初期 发 送 大 量 数据 导致 初始 拥塞 窗口 溢出 。 一 旦 拥 
塞 窗口 满 了 ， 发 送 端 必须 等 待 响应 (一 次 往返 )， 拥 塞 窗口 增加 再 发 送 更 多 数据 。 
如 果 你 的 web 服务 器 支持 TLS 记 录 调 整 ， 就 应 该 考虑 将 默认 值 (很 可 能 是 16 KB 这 么 大 的 数 
值 ) 改 成 更 为 合理 的 值 。 找 到 最 佳 大 小 需要 一 些 试验 ,因为 正如 之 前 所 讨论 的 , 这 由 部 署 的 密码 
套件 和 相应 的 传输 开销 决定 。 
如 果 你 不 想 在 这 上 面 花 太 多 时 间 ， 考虑 使 用 4 KB 这 个 合理 的 默认 值 。 如 果 你 想 将 TLS 记 录 大 
小 设置 为 与 TCP 包 准确 匹配 ， 就 从 1400 字 节 开 始 ， 然 后 通过 观察 数据 包 逐 步调 整 。 例 如 ， 假设 IP 
层 最 大 传输 单元 ( maximum transfer unit，MTU ) 是 1500 字 节 : 


1,500 bytes MTU 
40 bytes IPv6 header 
32 bytes TCP header 
49 bytes TLS record 


= 1,378 bytes 

静态 的 TLS 记 录 大 小 无 论 使 用 什么 值 都 有 一 些 问题 。 首先 MTU 的 值 是 变化 的 。 虽然 多 数 客户 端 
继承 以 太 网 1500 字 节 的 限制 ,但 也 有 一 些 协议 支持 更 大 的 数据 。 比 如 所 谓 的 巨型 帧 (jumbo frame ) 
人 允许 多 达 9000 字 节 。 其 次 ， 很 容易 错误 计算 并 且 指 定 一 个 错误 的 大 小 。 例 如 ， 使 用 了 PPv4〈 头 中 20 
字 节 ， 而 不 是 40 字 节 ) 计算 会 略 有 不 同 ， 密 码 套件 配置 有 变化 也 都 有 可 能 让 这 个 数值 不 对 。 

另 一 个 问题 是 减 小 TLS 记 录 的 大 小 会 增加 传输 开销 。 传 输 16KB 数 据 使 用 大 的 TLS 记 录 可 能 只 
增加 50 字 节 ( 0.3% ) 的 开销 ,但 如 果 你 分 成 若干 个 记录 , 例如 10 个 记录 , 开销 变 成 了 500 字 节 (3% )。 

可 能 最 佳 方案 是 由 Web 服 务 器 来 调整 TLS 记 录 大 小 ， 有 两 个 原因 : (1) 它 可 以 在 连接 的 开始 就 
发 现 MTU; (2) 它 可 以 在 连接 的 生命 周期 里 动态 改变 记录 大 小 ， 当 早期 拥塞 窗口 较 小 的 时 候 使 用 
较 小 的 值 ， 而 传输 数据 越 多 时 就 调 得 越 大 。HAProxy 正 是 这 么 做 的 。” 


9.2.8 互 操作 性 


互 操作 性 问题 有 时 真 的 会 影响 性 能 ， 它 会 一 直 隐 藏 直到 你 知道 如 何 准确 发 现 它 。 例 如 , 你 的 
服务 器 与 一 些 新 版 本 协议 的 特性 ( 例如 TLS 1.2 ) 不 兼容 ， 浏 览 器 可 能 需要 通过 与 服务 器 进行 多 
次 尝试 ， 最 终 才 能 协商 一 个 加 密 的 连接 。 ”但 是 除非 你 经 历 过 这 个 问题 并 且 意 识 到 性 能 下 降 ， 否 
则 你 不 会 知道 ; 服务 需 不 能 检测 到 它 并 且 浏 览 吉 也 不 会 警告 你 这 一 点 。 确 保良 好 的 TLS 性 能 的 最 
好 方式 是 升级 最 新 的 TLS 协 议 栈 以 支持 较 新 的 协议 版 本 和 扩展 。 


9.2.9 硬件 加 速 
早期 的 SSL， 公 钥 加 密 对 当时 可 用 的 硬件 来 说 是 非常 慢 的 。 结 果 取 得 不 俗 性 能 的 唯一 办 法 就 


















































































































































GD OPTIM: ssl: implement dynamic record size adjustment, http:/www.haproxy.org/git?p=haproxy.git;a=commit;h=7bed945 
be0cc9c91cd0114a9bcb965702f9389e3 ( Willy Tarreau, 20 14 年 2 月 2 日 )。 
@) 多 重 连接 尝试 是 现代 浏览 器 所 采用 的 自愿 协议 降级 机 制 的 一 部 分 。 我 在 6.6.3 节 中 详细 论述 过 。 
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是 使 用 硬件 加 速 。 随 着 时 间 推 欧 ， 普 通 CPU 速 度 不 断 提高 ， 加 速 设备 开始 失去 了 市 场 。” 

运行 着 全 球 最 大 网 站 的 公司 很 乐意 使 用 软件 处 理 加 密 。 例如， 下 面 是 Facebook 关 于 硬件 加 速 
的 说 法 : ” 

我 们 发 现 当 前 基于 软件 的 TLS 实 现在 普通 的 CPU 上 已 经 运行 得 足够 快 ， 无 需 借助 专 

门 的 加 密 硬 件 就 能 处 理 大 量 的 HTTPS 请 求 ,我 们 使 用 运行 于 普通 硬件 上 的 软件 提供 全 部 

的 HTTPS 服 务 。 

今天 人 们 购买 硬件 加 密 设 备 更 多 是 因为 它 安 全 保存 私 钥 的 能 力 ， 很 少 是 为 了 加 速 公 钥 加 密 。 
这 种 产品 被 称 作 硬件 安全 模块 (hardware security module，HSM )。 不 过 使 用 HSM 可 能 会 是 你 架 
构 的 一 个 瓶颈 ， 因 为 这 种 设备 很 难 大 规模 化 。 

取决 于 你 的 使 用 场景 ， 硬 件 加 速 也 可 能 是 正确 的 。 例 如 ， 你 已 经 存在 一 个 容量 边缘 的 系统 ， 
相 比 其 他 硬件 和 架构 改变 ， 安 装 加 速 卡 或 许 是 更 好 的 选择 。 


9.3 ”拒绝 服务 攻击 


拒绝 服务 (Denial of Service，DoS ) 攻击 在 互联 网 上 很 常见 ， 出 于 好 玩 或 者 利益 。 发 起 攻击 
很 容易 并 且 成 本 很 低 。 另 一 方面 ,防御 拒绝 服务 攻击 却 是 费 钱 费时 。 任 何 一 个 小 网 站 都 很 容易 被 
任何 想 要 尝试 这 种 攻击 的 人 压 跨 。 对 于 大 网 站 ,如 果 他 们 可 以 挺 住 ,只 是 因为 他 们 花费 大 量 金 钱 
用 于 防御 ， 并 且 攻 击 者 没有 尽力 。 

发 起 拒绝 服务 攻击 最 主要 的 方式 是 使 用 僵尸 网 络 ， 一 种 由 大 量 被 感染 的 计算 机 组 成 的 网 络 。 
服务 器 被 当 作 僵尸 节点 因为 它们 有 充足 的 带宽 。 家 庭 电 脑 虽 然 单机 能 力 有 限 , 但 它们 的 价值 是 数 
量 巨大 。 

如 果 有 人 想 通过 僵尸 网 络 攻击 你 ，TLS 配 置 可 能 无 所 作为 。 不 管 是 否 使 用 TLS， 坚 定 的 攻击 
者 可 以 持续 增加 僵尸 网 络 的 规模 直到 成 功 ,， 这 对 攻击 者 来 说 开销 并 不 大 。 这 就 是 说 , 存在 这 样 一 
个 建议 : 扩展 TLS 以 要 求 客 户 端 在 消耗 服务 器 资源 之 前 执行 某 些 计算 。” 但是， 防御 拒绝 服务 攻 
击 最 终 还 是 在 于 网 络 层 。 

口 连接 限制 

这 是 “入 门 级 ”的 拒绝 服务 防御 措施 ， 你 可 以 在 整个 网 络 的 入 口 部 署 专用 设备 ， 甚 至 为 每 
台 服 务 器 的 内 核 配置 连接 限制 。" 通 过 这 种 方法 ,你 可 以 对 抗 一 些 简单 的 攻击 , 例如 , 来自 
少量 JP 地址 的 攻击 。 连 接 限制 对 于 来 自 大 量 独 立 主 机 的 流量 泛 洪 攻 击 并 没有 太 大 帮助 。 

口 资源 超 配 










































































































































































QD High Scalability for SSL and Apache, http:/www.awe.com/mark/talks/apachecon2000.pdf ( Cox 和 Thorpe, 2000 年 7 月 )。 

© HTTP2 Expression of Interest, http://lists.w3.org/Archives/Public/ietf-http-wg/2012JulSep/0251.html ( Doug Beaver, 
HTTP 工 作 组 邮件 列表 ，2012 年 7 月 15 日 )。 

® TLS Client Puzzles Extension, https://datatracker.ietf.org/doc/draft-nygren-tls-client-puzzles/ ( E. Nygren，2015 年 7 月 )。 

由 SSL computational DoS mitigation, http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html ( Vincent Bernat, 2011 
年 11 月 1 日 )。 
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你 拥有 的 资源 越 多 ， 攻 击 者 对 你 进行 攻击 的 成 本 就 越 高 。 资 源 超 配 是 昂贵 的 ， 但 如 果 你 
经 常 受 到 攻击 ， 购 买 更 多 的 服务 器 并 且 拥 有 非常 大 的 网 络 连 接 是 一 个 可 行 的 方法 。 
口 第 三 方 援助 
当 其 他 一 切 都 失败 时 ， 你 可 以 通过 聘请 专门 从 事 缓解 分 布 式 拒绝 服务 攻击 的 公司 来 处 理 
问题 。 他 们 的 主要 优势 是 拥有 充足 的 资源 以 及 技术 诀窍 。 
所 有 这 一 切 并 不 意味 着 你 应 该 放弃 调整 TLS 以 尽 可 能 减少 被 拒绝 服务 攻击 。 与 此 相反 ，TLS 
的 某 些 方面 使 拒绝 服务 攻击 更 加 容易 ; 它们 需要 你 的 关注 。 


9.3.1 密 钥 交换 和 加 密 CPU 开销 


使 用 明文 协议 (例如 HTTP ) 的 时 候 ， 服 务 器 通常 在 将 文件 发 送 给 客户 端 上 耗 时 最 多 。 这 是 
很 常见 的 操作 ， 应 用 可 以 让 内 核 向 套 接 字 发 送 特定 的 文件 而 不 需要 关心 具体 细节 。 使 用 TLS， 相 
同 的 应 用 需要 读 取 文件 、 加 密 然 后 发 送 。 这 样 总 会 变 慢 。 

客户 端 同样 也 会 变 慢 ， 因 为 需要 以 相反 的 顺序 执行 相同 的 操作 。 最 为 复杂 的 是 握手 , 需要 多 
次 CPU 密集 型 的 加 密 操作 。 客 户 端 和 服务 器 由 于 握手 期 间 的 不 同 密 钥 交换 算法 , 会 有 不 同 的 性 能 
概况 ,也 有 不 同 的 时 间 消 耗 。 如 果 客 户 端 需要 执行 比 服务 器 更 少 的 工作 , 那 就 有 可 能 导致 拒绝 服 
务 攻击 。 

使 用 RSA 正 是 这 样 的 例子 ， 典 型 使 用 方式 (使 用 公共 指数 ) 通过 公 钥 (客户 端 执行 ) 操作 比 
通过 私 钥 操作 ( 服务 器 ) 要 快 。 实际 上 ,， 平均 2048 位 的 RSA 密 钥 ， 服 务 器 最 终 需要 做 4 倍 的 工作 。 
结果 就 是 一 个 CPU 中 等 的 客户 端 可 以 通过 并 发 执行 多 个 握手 压 跨 硬件 配置 强劲 的 服务 器 。 

为 了 确认 这 一 点 ， 我 通过 两 台 相 同 配置 的 电脑 做 了 测试 ， 一 台 运 行 2048 位 RSA 私 钥 的 Web 服 
务 器 ， 另 一 台 去 攻击 它 。 我 用 流行 的 压 测 工具 ab 很 轻松 地 将 服务 器 CPU 压 垮 。 在 此 期 间 ， 客 户 端 
运行 的 CPU 消耗 只 是 略微 超过 10%。 

RSA 依 然 是 最 主要 的 身份 验证 和 密 钥 交 换算 法 ， 但 有 一 个 好 消息 : 它 在 被 逐步 淘汰 。 最 大 
的 问题 是 它 不 支持 前 向 保密 。 在 短期 内 ， 人 们 正 转向 ECDHE RSA， 保 留 RSA 用 于 身份 验证 但 
使 用 ECDHE 用 于 密 钥 交换 。 使 用 BCDHE RSA, 客户 端 依 旧 执 行 更 少 的 工作 , 只 是 没 那 么 糟糕 ， 
只 有 不 到 2.5 倍 。 此 外 未 来 将 会 使 用 ECDHE ECDSA， 之 前 的 情况 会 出 现 反 转 ， 客 户 端 多 执行 
1.5 倍 工作 。 

注意 
要 从 这 些 算法 变化 里 受益 ， 你 需要 将 RSA 密 钥 交换 从 你 的 配置 中 删除 。 否 则 攻击 者 在 
攻击 时 可 以 强制 使 用 最 慢 的 密码 套件 。 

加 密 也 是 有 开销 的 。 在 本 章 前 面部 分 你 知道 SEED 加 密 比 最 常 使 用 的 AES-128 加 密 要 慢 4 售 ， 
3DES 比 AES-128 要 慢 11 倍 。 许 多 服务 器 为 了 例如 IE6 这 样 的 旧版 本 的 客户 端 才 保 留 3DES 配 置 。 尽 
管 密码 套件 的 选择 在 TLS 拒 绝 服务 攻击 中 不 可 能 起 主要 作用 ,但 它 绝对 会 让 事情 变 得 更 糟 。 
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9.3.2 ”客户 端 发 起 的 重新 协商 


重新 协商 ( renegotiation ) 是 一 个 协议 功能 ， 人 允许 一 方 请 求 一 次 新 的 握手 以 协商 不 同 的 连接 
参数 。 这 个 功能 很 少 被 用 到 ， 人 允许 客户 端 请 求 重新 协商 ， 目 前 虽然 没有 任何 实际 的 用 途 ， 但 使 得 
缓解 拒绝 服务 更 加 困难 。 

在 “标准 的 ”TLS 计 算 拒绝 服务 攻击 中 ， 每 个 连接 只 有 一 次 握手 。 如 果 在 你 掌控 的 地 方 有 连 
接 限制 ， 你 知道 每 个 到 TLS 服 务 器 的 连接 会 消耗 一 定 的 CPU 处 理 能 力 。 如 果 人 允许 客户 端 发 起 的 重 
新 协商 ， 攻 击 者 可 以 在 同一 个 连接 上 执行 多 次 握手 ， 绕 过 检测 机 制 。 "这 个 技术 同时 减少 了 需要 
的 并 发 连接 的 数量 ， 从 而 降低 了 整体 攻击 的 延迟 。 

2011 年 10 月 一 个 名 为 The Hacker”s Choice 的 德国 黑客 组 织 发 布 了 一 个 叫 作 thc-ssl-dos 的 工 
具 ， 使 用 重新 协商 放大 对 TLS 的 拒绝 服务 攻击 。” 
并 非 所 有 服务 器 都 支持 客户 端 发 起 的 重新 协商 。IS 在 IIS6 之 后 停止 支持 ，Nginx 从 未 支持 过 ， 
Apache 在 2.2.15 停 止 支持 。 但 仍 有 许多 厂商 不 愿意 删除 此 功能 。 保 留 客户 端 发 起 的 重新 协商 功能 
的 一 些 厂商 , 正在 寻求 方法 限制 同一 连接 重新 协商 的 数量 。 理 想 情 况 下 ， 你 不 应 该 允许 客户 端 发 
起 重新 协商 。 


9.3.3 ”优化 过 的 TLS 拒绝 服务 攻击 


重新 协商 让 TLS 拒 绝 服务 攻击 更 难 被 检测 到 ， 但 是 使 用 它 的 工具 并 没有 本 质 的 区 别 : 它们 都 
是 向 网 站 潜在 发 送 大 量 虚 假 的 客户 端 连 接 。 关 于 这 两 种 场景 ,握手 CPU 消耗 不 对 称 是 让 攻击 成 为 
可 能 的 原因 。 事 实证 明 ， 通 过 优化 可 以 让 客户 端 不 需要 进行 加 密 操作 。 

thc-ssldos 工 具 一 经 公布 就 受到 了 广泛 的 媒体 关注 。Eric Rescorla 是 TLS 协 议 的 设计 者 之 一 ， 
跟 进 分 析 使 用 重新 协商 放大 拒绝 服务 的 技术 。 ”他 的 结论 是 还 有 一 个 更 简单 的 方式 执行 TLS 拒 绝 
服务 攻击 。 他 的 办 法 是 客户 端 使 用 无 需 加 密 操作 的 硬 编码 的 握手 消息 。 此 外 ,避免 解析 或 者 验证 
任何 从 服务 器 收 到 的 消息 。 因 为 消息 结构 上 是 正确 的 , 但 直到 握手 的 最 后 服务 器 才 验 证 出 来 ,这 
时 已 经 太 晚 了 ， 所 有 耗 时 的 工作 都 已 经 完成 。 

使 用 Eric 的 蓝图 ，Michal Trojnara 随 后 写 了 一 个 叫 作 sslsqueeze 的 概念 验证 工具 。" 

当 我 测试 sslsqueeze 的 时 候 ， 我 发 现 它 比 ab 的 表现 要 好 很 多 。 我 在 一 台 2.80 GHz Inte Xeon 
E5-2680 单 核 的 机 器 上 安装 它 , 目标 是 同一 个 数据 中 心 8 核 CPU 的 服务 器 。 这 个 工具 操作 几 秒 后 就 
把 目标 服务 器 上 全 部 的 CPU 资源 都 耗 尽 了 。 

































































































































































中 仍然 可 以 检测 到 攻击 , 但 通常 需要 深层 流量 监听 , 最 好 通过 解析 协议 消息 。 这 种 能 力 就 没有 连接 计数 那样 普遍 了 。 

©® THC SSL DoS，https:Wthehackerschoice.wordpress.comy/2011/10/24/thc-ssl-dos/ ( The Hackers Choice，2011 年 10 月 24 日 )。 

@ SSL/TLS and Computational DoS ，http:Wwww.educatedguesswork.org/2011/10/ssltls_and_computational dos.html ( Eric 
Rescorla，2011 年 10 月 25 日 )。 

@ ftp://ftp.stunnel.org/sslsqueeze/ 的 索引 ( Michal Trojnara，2011 年 11 月 16 日 )。 





HTTP 严 格 传输 安全 、 内 容 安 
全 策略 和 人 钉 批 








本 章 论述 几 个 可 以 大 幅 提 升 SSL/TLS 和 PKI 生 态 系统 安全 性 的 技术 ,我 们 将 其 分 成 两 组 。 第 

一 组 的 HTTP 严 格 传输 安全 (HTTP strict transport security, HSTS ) 和 内 容 安全 策略 ( content security 
policy，CSP ) 都 是 HTTP 专 有 的 ， 并 且 得 到 了 浏览 器 的 广泛 支持 。 它 们 不 仅 在 当前 很 实用 ， 而 且 
也 是 网 站 安全 的 基础 。 我 会 尽 可 能 详尽 地 介绍 它们 的 部 署 。 
第 二 组 技术 是 为 了 TLS 服 务 器 身份 验证 更 加 安全 而 实现 的 生 扎 (pinning )。 有 几 个 成 熟 度 不 
同 的 方法 竞争 实现 钉 扎 。 对 于 客户 端 和 服务 器 通信 都 由 相同 开发 人 员 控 制 的 本 机 应 用 程序 , 钉 扎 
已 经 得 到 充分 实践 。 对 于 浏览 器 ， 一些 钉 扎 的 办 法 也 可 以 马上 部 署 , 但 需要 手动 操作 ， 并 与 浏览 
器 厂商 协调 。 存在 一 些 新 的 标准 ， 以 及 未 来 可 能 证 明 是 可 行 的 有 潜力 的 新 方向 。 本 章 涵盖 了 所 有 
可 用 的 选项 。 


10.1 HTTP 严格 传输 安全 


2012 年 11 月 发 布 为 RFC 6797 "的 HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS )， 
是 一 项 描述 严格 方法 处 理 网 站 加 密 的 提议 标准 。 它 设计 用 于 缓解 当前 浏览 器 中 关于 TLS 实 现 的 几 
个 关键 弱点 。 
口 无 法 知道 网 站 是 否 支 持 TLS 
HTTP 没 有 指定 能 让 浏览 器 判断 网 站 是 否 实现 了 TLS 的 方式 。“ 因 此 , 在 地 址 栏 中 输入 一 个 
没有 指定 协议 的 URL 时 ,浏览 器 必须 在 HTTP 和 HTTPS 协 议 之 间作 选择 。 当 前 ， 浏览 器 默 
认 使 用 容易 被 截获 的 明文 通信 。 
口 证 书 容错 问题 
在 Web 刚 刚 起 步 时 ,浏览 器 已 经 回避 了 TLS 连 接 真 实 性 的 问题 。 浏 览 器 不 是 放弃 与 无 效 证 
书 站 点 的 连接 ， 而 是 显示 警告 信息 ， 并 允许 用 户 点 击 跳 过 ， 继 续 访 问 。 有 研究 表明 ， 许 






































































































































QD RFC 6797: HTTP Strict Transport Security (HSTS), http://tools.ietf.org/html/rfc6797 ( Hodges 和 Jackson, 2012 年 11 月 )。 
@ 这 可 以 使 用 DNS SRV 记 录 实 现 ， 这 些 记录 设计 为 指向 提供 某 个 特定 服务 的 确切 主机 名 和 端口 。SRV 记 录 是 在 2000 
年 2 月 发 布 的 RFC2782 中 定义 的 。 
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多 用 户 忽 略 了 和 警告， 将 自己 暴露 在 主动 攻击 之 下 。 

口 混合 内 容 问 题 

开发 安全 网 站 时 有 一 个 常见 错误 是 , 在 一 个 安全 的 HTML 页面 中 引入 了 明文 资源 。 所 有 浏 

览 器 在 某 种 程度 上 都 允许 此 类 资源 ， 并 且 在 很 多 情况 下 这 些 明 文 连接 可 生 

用 户 会 话 。 另 一 个 常见 问题 是 ， 将 同一 个 域名 上 的 明文 页 面 和 加 密 页 面 混合 到 一 起 。 这 
很 难 正确 实现 ， 往 往 会 导致 网 站 的 漏洞 。 

口 Cookie 安 全 问题 
男 一 个 常见 的 实现 错误 是 ,忘记 保护 应 用 程序 Cookie 的 安全 。 即 使 是 只 允许 TLS 访 问 的 网 
站 ， 主 动 网 络 攻击 者 也 可 以 从 受害 者 的 浏览 器 镭 取 Cookie。 












































注意 
Ca 整 讨论 和 不 同 的 攻击 方式 ， 请 阅读 第 5 章 。 


在 将 HSTS 部 署 到 网 站 时 ， 它 通过 两 个 机 制 解决 以 上 全 部 问题 : (1) 明文 URL 被 透明 重 写成 使 
用 加 密 ; (2) 全 部 的 证 书 错误 被 视 为 致命 的 (不 允许 用 户 点 击 跳 过 )。 通 过 这 种 方式 ，HSTS 极 大 
减少 了 攻击 面 ， 从 而 让 部 署 安全 网 站 变 得 更 加 容易 。 这 是 TLS 近 期 最 棒 的 一 件 事 情 了 。 

HSTS 的 产生 源 于 Jackson 和 Barth 在 2008 年 的 成 果 , 他们 设计 了 一 种 基于 Cookie 的 强制 HTTPS 
机 制 "， 人 允许 高 级 用 户 对 一 些 支持 HTTPS 的 不 安全 网 站 透明 地 增强 安全 性 。 在 他 们 的 论文 中 ， 以 
Firefox 插 件 的 方式 提供 概念 验证 。 






































10.1.1 配置 HSTS 




















通过 在 加 密 的 HTTP 响 应 中 包含 strict-Transport-Security 头 实现 网 站 HSTS , 像 下 面 这 样 配置 : 
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload 


假设 TLS 连 接 没 有 错误 ， 兼容 的 浏览 器 将 会 在 max-age 参 数 指定 的 保留 期 内 激活 HSTS。 
includeSubDomains 参 数 指定 应 该 在 发 出 头 的 主机 及 其 所 有 子 域 上 启用 HSTS。 


Ee 

二 吕 

在 部 署 HSTS 启 用 includeSubDomains 参 数 之 前 ， 确 认 如 果 强 制 浏览 器 对 整个 域名 空间 
使 用 加 密 ， 可 能 对 共享 同一 域名 的 其 他 网 站 造成 负面 影响 。 至 少 要 确保 所 有 网 站 真正 
支持 加 密 2 ， 并 拥有 有 效 的 证 书 应 


规范 要 求 用 户 代 理 对 明文 连接 或 者 有 证 书 错误 〈 包 括 自 签名 证 书 ) 的 加 密 连接 忽略 HSTS 响 
应 头 。 这 主要 是 为 了 防止 主动 网 络 攻击 者 轻易 对 只 支持 明文 访问 的 网 站 发 起 拒绝 服务 攻击 。 此 外 ， 
不 允许 对 人 P 地 址 使 用 HSTS。 

通过 Strict-Transport-Security: max-age=0 这 样 将 max-age 人 参数 设置 为 零 来 撤销 HSTS 是 可 行 






























































QD ForceHTTPS: Protecting High-Security Web Sites from Network Attacks, https://crypto.stanford.edu/forcehttps/force- 
https.pdf ( Jackson 和 Barth，2008 )。 
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的 , 但 是 只 有 当 浏 览 器 ( 对 之 前 启用 HSTS 的 网 站 ) 再 次 访问 网 站 并 且 更 新 配置 时 撤销 才 会 生效 。 
因此 撤销 是 否 成 功 (HSTS 策 略 调整 ) 取决 于 用 户 的 访问 频率 。 

最 佳 情况 下 ， 应 该 将 HSTS 配 置 在 离 用 户 最 近 的 位 置 。 例 如 ， 你 有 很 多 Web 服 务 器 和 前 端 反 
向 代理 (应 用 程序 或 者 防火 墙 )， 最 好 只 在 前 端 配 置 HSTS 。 和 否则 就 在 Web 服 务 器 层 配置 HSTS 。 
如 果 Web 服 务 器 不 明确 支持 HSTS， 很 可 能 有 人 允许 任意 增加 响应 头 的 机 制 。 后 者 也 可 以 很 好 地 运 
作 ， 但 要 阅读 附属 细则 。 有 些 情 况 下 对 出 错 响应 〈 例如 404 页 面 ) 添加 响应 头 是 不 行 的 ， 或 许 需 
要 特殊 的 配置 。 

如 果 其 他 方法 都 失败 了 ， 可 以 在 应 用 程序 层面 增加 HSTS。 但 需要 注意 你 的 应 用 程序 并 不 是 
对 网 站 的 所 有 请 求 都 是 可 见 的 。 例 如 ，Web 服 务 器 通常 直接 提供 静态 资源 ， 并 且 自 己 处 理 一 些 重 
定向 。 


10.1.2 ”确保 主机 名 和 宪 盖 


默认 情况 下 ， 仅 会 在 发 出 Strict-Transport-Security 响 应 头 的 主机 名 上 启用 HSTS。 在 不 只 
一 个 主机 名 ( 例如 ，store.example.com 和 accounts.example.com ) 上 部 署 的 网 站 应 该 注意 对 全 部 主 
机 名 都 启用 HSTS。 和 否则 可 能 出 现 用 户 访问 一 些 并 没有 配置 HSTS 的 主机 名 而 得 不 到 保护 。 

有 些 应 用 程序 使 用 所 谓 的 域 Cookie， 一 种 在 根 域 (例如 example.com ) 上 设置 并 且 可 以 被 任 
一 子 域 使 用 的 Cookie。 这 种 技术 通常 用 于 跨 多 个 主机 名 并 且 需 要 统一 验证 和 会 话 管理 的 网 站 。 这 
种 场景 下 对 全 部 主机 名 包括 根 域名 启用 HSTS 尤 为 重要 。 你 不 会 希望 遗留 任何 可 能 被 攻破 的 漏洞 。 

即使 只 使 用 一 个 主机 名 的 网 站 也 需要 考虑 这 个 问题 ， 因 为 可 能 用 户 有 时 访问 网 站 不 带 前 绥 
(例如 example.com )， 有 时 又 带 前 级 (例如 www.example.com )。 由 于 我 们 不 控制 入 站 链接 ， 必 须 
在 配置 HSTS 时 特别 小 心 ， 以 确保 对 全 部 主机 名 都 启用 。 
警告 
一 个 常见 错误 是 忘记 对 重 定向 配置 HSTS。 例 如 ， 一 些 用 户 可 能 首先 访问 你 的 根 域名 
(例如 example.com )。 如 果 你 没有 对 重 定向 配置 HSTS， 尽 管 对 主 域名 配置 了 HSTS,， 

用 这 种 方式 访问 的 用 户 还 是 可 能 遭受 SSL 和 剥离 攻击 。 为 了 达到 最 佳 效 果 ， 列 举 能 访问 
到 你 的 网 站 的 全 部 路 径 ， 并 且 全 部 加 上 HSTS 。 
















































































10.1.3 Cookie 安全 


为 HSTS 强 制 对 特定 网 站 的 全 部 连接 进行 加 密 ， 你 可 能 认为 即使 不 安全 的 Cookie 也 能 安全 
对 抗 主动 网 络 攻击 者 。 不 幸 的 是 ，Cookie 规 范 是 比较 随意 的 ， 这 为 额外 的 攻击 向 量 创造 了 机 会 ， 
比如 以 下 几 种 情况 。 
口 通过 伪造 的 主机 名 攻击 
Cookie 通 常 是 为 某 个 个 特定 的 主机 名 及 其 所 有 子 域 设置 的 。 同时 , 主动 网 络 攻击 者 可 以 在 
需要 的 时 候 窜改 DNS， 创建 目 标 网 站 同一 域名 下 的 任意 主机 名 。 因 此 如 果 你 对 
www.example.com 设 置 Cookie, 攻击 者 可 以 通过 强制 拦截 访问 madeup.www.example.com 来 
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窃取 Cookie。 如 果 Cookie 是 不 安全 的 ， 明 文 访问 就 可 以 实现 这 种 攻击 了 。 如 果 Cookie 是 安 
全 的 ， 攻 击 者 可 以 配置 自 签名 证 书 ， 禄 实用 户 会 忽略 浏览 器 警告 ， 点 击 通过 。 
口 Cookie 注 入 
Cookie 规 范 未 对 安全 的 Cookie 使 用 独立 的 命名 空间 。 这 意味 着 一 个 来 自明 文 连 接 的 Cookie 
设置 可 以 覆盖 一 个 已 经 存在 的 安全 Cookie。 在 实践 中 , 这 意味 着 一 个 主动 网 络 攻击 者 可 以 
对 其 他 安全 的 应 用 程序 注入 任意 Cookie。 
在 域 Cookie 的 场景 中 , 攻击 者 可 以 从 现 有 同 级 主机 名 ( 例如 blog.example.com ) 注 和 人 Cookie。 
否则 主动 网 络 攻击 者 可 以 伪造 一 个 任意 主机 名 并 且 从 它 注入 。 
通过 使 用 includeSubDomains 人 参数 在 交付 主机 名 及 其 所 有 子 域 时 激活 HSTS， 可 以 在 很 大 程度 
上 解决 上 述 问 题 。 当 使 用 域 Cookie 的 时 候 ， 唯 一 安全 的 途径 是 对 根 域名 激活 HSTS 以 便 覆盖 整个 
域名 空间 。 我 在 5.3 节 中 详细 论述 了 Cookie 安 全 问题 。 


10.1.4 ”攻击 向 量 


HSTS 极 大 提升 了 我 们 保护 网 站 安全 的 能 力 ， 但 仍 有 一 些 边缘 情况 值得 你 留意 。 考 虑 以 下 几 
种 情形 。 

口 首次 访问 
因为 HSTS 是 通过 设置 HTTP 响 应 头 激活 的 ， 对 首次 访问 不 提供 任何 安全 保障 。 可 是 一 旦 
HSTS 被 激活 就 可 以 持续 保护 直到 过 期 。 首 次 访问 缺乏 安全 的 问题 可 以 通过 在 浏览 器 内 髓 
(或 预 加 载 ，preloading ) 一 份 已 知 支持 HSTS 的 网 站 清单 来 缓解 。 这 种 方法 可 行 的 原因 是 
支持 HSTS 的 网 站 数量 仍然 很 小 。 

口 较 短 保存 时 间 
HSTS 最 好 部 署 较 长 的 保存 时 间 (例如 ， 最 少 6 个 月 )。 如 此 一 来 ,不 仅 在 用 户 在 首次 会 话 
期 间 得 到 保护 ， 而 且 用 户 对 网 站 的 后 续 访 问 都 持续 受到 保护 。 如 果 保 存 时 间 很 得 ， 用 户 
在 过 期 之 前 没有 再 次 访问 ， 那 他 们 下 次 访问 时 就 得 不 到 保护 。 

口 时 钟 攻击 
电脑 被 配置 使 用 无 验证 的 网 络 时 间 协 议 (network time protocol，NTP ) 自动 更 新 时 钟 的 用 
户 , 可 能 被 主动 网 络 攻击 者 覆盖 NTP 消 息 进行 攻击 。 通 过 将 电脑 时 钟 设置 成 未 来 某 一 时 刻 
可 以 导致 网 站 的 HSTS 策 略 失 效 ， 使 受害 者 下 次 访问 变 得 不 安全 。 这 种 攻击 向 量 的 危险 性 
取决 于 NTP 访 问 频率 。 这 通常 是 每 天 一 两 次 。 按照 2014 年 10 月 发 布 的 调查 报告 ,操作 系统 
受 这 种 攻击 的 难 易 程 度 相 差 很 大 。 有 些 系统 ， 比 如 Fedora 每 分 钟 都 要 同步 时 钟 ， 导致 很 容 
易 成 为 攻击 的 目标 。 其 他 比如 OS XX 同步 频率 要 低 一 些 ( 分钟 级 别 ), 但 仍然 相对 容易 攻击 。 
似乎 Windows 是 最 安全 的 ， 尽管 也 使 用 未 验证 的 NTP, 但 只 有 每 周 同步 一 次 , 并且 内 置 防 
护 措 施 防 止 大 范围 的 时 间 调 整 。” 






























































































































































GD Bypassing HTTP Strict Transport Security, https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP- 
Strict-Transport-Security-wp.pdf ( Jose Selvi，2014 年 10 月 )。 
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口 响应 头 注 入 
响应 头 注入 是 一 种 让 攻击 者 对 受害 者 流量 注入 任意 响应 头 的 Web 应 用 程序 漏洞 。 一 旦 应 用 
出 现 这 种 漏洞 ， 攻 击 者 可 以 注入 一 个 伪造 的 Strict-Transport-Security 啊 应 头 从 而 禁用 
HSTS。 对 未 使 用 HSTS 的 应 用 程序 ， 这 种 攻击 可 用 于 启用 HSTS 并 可 能 造成 DoS 攻 击 。 
当 攻 击 者 对 已 经 启用 HSTS 的 应 用 程序 实施 这 种 攻击 的 时 候 ， 出 站 响应 头 会 包含 两 份 
Strict-Transport-Security 字 段 。 如 果 攻 击 者 设置 的 字段 排 在 响应 头 的 前 面 ， 浏 览 需 就 会 
优先 使 用 它 。 

口 TLS 截 断 
尽管 TLS 协 议 不 会 被 截断 攻击 利用 , 但 多 数 浏览 器 的 实现 却 可 能 导致 这 种 风险 。 技术 精湛 
的 主动 网 络 攻击 者 可 以 使 用 特殊 的 技术 拦截 TLS 连 接 ， 并 且 在 max-age 参 数 的 第 1 位 截断 。 
这 种 攻击 一 旦 成 功 , 就 可 以 减 小 HSTS 的 持续 时 间 , 最 多 只 能 是 9 秒 。 这 就 是 我 在 6.7.2 节 中 
描述 的 所 谓 Cookie 截 断 攻 去 。 

口 混合 内 容 问题 
HSTS 的 设计 者 选择 了 不 完全 解决 混合 内 容 问 题 ， 可 能 因为 这 是 一 个 难题 ， 并 且 浏 览 器 厂 
商 倾向 于 使 用 不 同 的 方法 处 理 它 。 结 果 就 是 HSTS 包 含 了 对 12.4 部 分 (不 允许 加 载 混合 
容 ) 唯一 的 非 规范 意见 。 
HSTS 仍 旧 提供 了 部 分 解决 方案 , 来 自 同一 主机 名 (启用 HSTS 的 地 方 ) 的 明文 请 求 是 不 允 
许 的 。 为 了 解决 第 三 方 混合 内 容 问 题 , 要 部 署 内 容 安 全 策略 ( content security policy, CSP )。 
CSP 可 以 用 于 只 允许 来 自 特定 页 面 的 HTTPS 请 求 。 













































































口 主机 名 和 端口 共享 
HSTS 是 对 整个 主机 名 和 全 部 端口 生效 的 。 这 种 方式 在 多 方 可 以 控制 啊 应 头 的 共享 托管 情 1 
况 下 不 能 很 好 工作 。 在 这 种 情况 下 ， 应 小 心地 筛选 所 有 响应 ， 以 确保 发 送 正确 的 HSTS 头 
(或 者 根本 不 发 送 HSTS 头 )。 


10.1.5 浏览 器 支持 


HSTS 目 前 能 在 桌面 浏览 器 得 到 正式 的 支持 ， 要 感谢 早 在 2010 年 和 2011 年 分 别 被 Chrome 和 
Firefox 所 接受 。 在 2013 年 后 期 Safari 浏 览 器 的 OS X10.9 版 本 也 加 入 了 其 中 。Internet Explorer 11 于 
2015 年 6 月 为 其 Windows 7 和 8.1 平 台 添加 了 对 HSTS 的 支持 ( 参见 表 10-1 )。 


表 10-1 浏览 器 对 HTTP 严 格 传输 安全 的 支持 











浏 览 器 HSTS 支 持 开始 支持 的 版 本 预 加 载 
Chrome 支持 v4.0.249.78; 2010 年 1 月 * 支持 
Firefox 支持 v4; 2011 年 3 月 " 支持 (v17+) 
Internet Explorer 支持 v1ll (Windows 7 和 8.1); 2015 年 6 月 * 支持 
Opera 支持 V12 (Presto/2.10.239); 2012 年 6 月 4 支持 (v15+) 
Safari 支持 v7 (OS X 10.9 Mavericks); 2013 年 10 月 支持 








256 第 10 章 HTTP 严格 传输 安全 、 内 容 安全 策略 和 每 扎 





a Stable Channel Update, http://googlechromereleases.blogspot.com/2010/01/stable-channel-update_25.html (Chrome 版 本 博客 ， 
2010 年 1 月 25 日 ) 。 

b Firefox 4 release notes, http://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-US/firefox/4.0/releasenotes/ 
(Mozilla，2011 年 3 月 22 日 ) 。 

c HTTP Strict Transport Security comes to Internet Explorerll on Windows 8.1 and Windows 7, https://blogs.windows.com/ 








msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ 
(Microsoft Edge Dev Blog，2015 年 6 月 9 日 ) 。 

d Web specifications support in Opera Presto 2.10, http://www.opera.com/docs/specs/presto2.10/#m210-244 (Opera， 检索 于 
2014 年 4 月 19 日 ) 。 


大 多 数 浏览 絮 出 厂 就 预 加 载 了 已 知 支 持 HSTS 的 站 点 列表 ， 这 使 得 它们 在 第 一 次 连接 到 站 点 
时 是 完全 安全 的 。 最 初 ， 这 些 列表 都 是 手动 编译 或 者 通过 远程 扫描 的 。 之 后 ，Google 开 始 运行 一 
种 中 心 预 加 载 注 册 服 务 ， 现 在 所 有 浏览 器 供应 商都 依赖 这 些 服 务 。 "但 是 ， 关 于 各 个 供应 商 如 何 
更 新 其 预 加 载 列 表 的 细节 却 很 少 。 


10.1.6 ”强大 的 部 署 清 


尽管 HSTS 比 较 简 单 ， 如 果 你 工作 的 环境 比较 复杂 的 话 ， 部 署 它 可 能 会 相当 复杂 。 针 对 除了 
最 简单 环境 之 外 的 情况 ， 我 建议 将 部 署 HSTS 分 为 两 个 主要 步骤 : 首先 ， 开 始 一 项 测试 运行 ， 该 
运行 按 配 置 让 一 切 顺利 进行 , 除了 使 用 非常 短 的 持续 时 间 值 。 之 后 , 增加 持续 时 间 到 所 期 望 的 值 。 

按照 以 下 步骤 进行 验证 。 

(1) 确保 Strict-Transport-Security 头 是 在 全 部 主机 名 〈 例如 ，accounts.example.com 和 
www.example.com ) 的 所 有 加 密 响 应 上 发 出 的 ， 同 时 指定 includeSubDomains 参 数 。 

(2) 确保 在 根 域名 (例如 ，example.com ) 上 启用 HSTS， 同 时 指定 includeSubDomains 参 数 。 

(3) 确定 指向 你 的 网 站 的 全 部 路 径 ， 并 仔细 检查 确保 所 有 重 定向 都 发 出 HSTS 策 略 。 

(4) 一 开始 先 用 一 个 短暂 的 过 期 时 间作 为 临时 策略 。 万 一 忘记 在 生产 环境 有 一 个 只 文 持 明文 
访问 的 重要 网 站 ， 这 会 让 你 相对 容易 地 恢复 回去 。 
(5) 重 定向 所 有 HTTP 通 信 到 HTTPS。 这 将 确保 用 户 始终 在 第 一 次 访问 时 收 到 HSTS 指 令 。 

(6) 修改 你 的 网 站 使 每 个 主机 名 至 少 向 根 域名 提交 一 个 请 求 。 这 将 确保 HSTS 是 完全 对 整个 域 
命名 空间 启用 ， 即 使 用 户 不 直接 访问 根 域名 。 

(7) 如 果 在 你 的 网 站 面前 有 一 个 反 向 代理 ,在 代理 级 别 集中 配置 HSTS 策 略 是 一 个 加 分 项 。 为 
了 防止 利用 头 注 入 漏洞 绕 过 HSTS ， 请 删除 由 后 端 Web 服 务 器 设置 的 任何 HSTS 响 应 头 。 

经 过 一 段 时 间 , 在 确认 各 方面 部 署 都 正确 时 ,增加 策略 的 保留 时 间 。 可 以 逐步 增加 或 者 可 以 
立即 切换 到 长 期 值 。 具 体 步 又 如 下 所 示 。 

(1) 将 策略 保持 持续 时 间 增 加 为 一 个 长 期 的 值 ， 例 如 ，12 个 月 。 这 不 仅 会 给 你 最 好 的 保护 ， 
而 且 能 够 确保 你 满足 预 加 载 列 表 的 最 低 期 限 要 求 。 

(2) 遵守 预 加 载 指令 的 要 求 ， 并 通知 网 站 hstspreload.appspot.com 的 预 加 载 列 表 维 护 人 员 。 

















































































































QD Google’s HSTS preload registration service, https://hstspreload.appspot.com/( Adam Langley, 检索 于 2015 年 7 月 26 日 )。 











如 果 你 无 法 对 整个 域名 激活 ，HSTS 将 会 怎样 ? 

为 了 达到 最 佳 效果 ， 应 该 对 主 域名 及 其 所 有 子 域名 启用 HSTS 。 不 幸 的 是 ， 这 并 不 总 是 可 
能 的 。 特 别 是 如 果 你 使 用 了 大 量 现 有 的 基础 设施 ， 可 能 需要 一 段 时 间 才 能 把 所 有 的 服务 迁移 
到 HTTPS 。 

即使 在 这 种 情况 下 ， 你 仍然 只 对 主 应 用 程序 主机 名 (例如 www.example.com ， 而 不 是 
example.com ) 使 用 includeSubDomains。 它 将 提供 足够 的 安全 性 ， 除 了 使 用 域 Cookie 的 情况 。 
但 是 ， 需 要 仔细 做 到 这 一 点 。 因 为 HSTS 策 略 里 并 不 包括 其 适用 的 主机 名 名 称 ， 有 可 能 会 无 意 
中 在 错误 的 地 方 激活 HSTS。 

当 部 署 不 履 盖 任何 子 域 的 HSTS 时 ， 会 存在 10.1.3 节 中 描述 的 风险 。 这 种 风险 可 以 通过 部 








署 加 密 安全 机 制 进行 缓解 ， 从 而 保证 Cookie 的 机 密 性 和 完整 性 。 





10.1.7 ”隐私 问题 


HSTS 的 性 质 决 定 了 浏览 需 使 用 持久 性 存储 保持 跟踪 用 户 访问 的 HSTS 网 站 。 当 用 户 首次 遇 到 
某 个 HSTS 站 点 时 , 会 将 一 个 项 添加 到 浏览 器 的 HSTS 数 据 库 中 。 这 一 事实 使 得 它 可 以 测试 某 人 之 
前 是 否 访 问 过 特定 网 站 , 上 只 要 让 他 们 点 击 一 个 网 站 的 明文 链接 即 可 。 如果 他 们 访问 的 就 是 明文 链 
接 , 说 明 他 们 以 前 从 未 访问 过 该 网 站 。 但 是 如 果 他 们 之 前 已 经 访问 过 该 网 站 ，HSTS 会 生效 ， 重 
定向 链接 ， 访 问 会 变 成 HTTPS ( 取代 HTTP )。 

在 本 质 上 一 个 HSTS 策 略 可 以 用 于 存储 浏览 器 信息 中 的 1 位 。1 位 看 起 来 并 不 多 ,但 是 使 用 泛 
域名 证 书 时 ， 对 手 会 制造 尽 可 能 多 的 主机 名 ， 每 个 主机 名 需要 一 个 单独 的 HSTS 策 略 ， 每 个 都 携 
带 一 位 的 信息 。” 


10.2 内容 安全 策略 


内 容 安 全 策略 〈content securitypolicy，CSP ) 是 一 种 声明 的 安全 机 制 ， 可 以 让 网 站 运营 者 能 
够 控制 遵循 CSP 的 用 户 代理 (通常 是 浏览 器 ) 的 行为 。 通 过 控制 要 启用 哪些 功能 ， 以 及 从 哪里 下 
载 内 容 ， 可 以 减少 网 站 的 攻击 面 。 

CSP 的 主要 目的 是 防御 跨 站 点 脚本 (cross-ste scripting，XSS ) 攻击 。 例 如 ，CSP 可 以 完全 禁 
止 内 联 的 JavaScript, 并 且 控 制 外 部 代码 从 哪里 加 载 。 它 也 可 以 禁止 动态 代码 执行 。 禁用 了 所 有 的 
这 些 攻击 源 ，XSS 攻 击 变 得 更 加 困难 。 

CSP 由 Mozilla 开 发 ， 曾 经 有 几 年 试验 过 概念 ， 一 开始 称 为 内 容 限制 ( content restriction ) 2 ， 

















































































































GD The Double-Edged Sword of HSTS Persistence and Privacy, http://www.leviathansecurity.com/blog/the-double-edged- 
sword-of-hsts-persistence-and-privacy/ ( Leviathan Security Group，2012 年 4 月 4 日 )。 
© Content Restrictions, http://www.gerv.net/security/content-restrictions/ ( Gervase Markham， 最 后 更 新 于 2007 年 3 月 20 日 )。 
































258 第 10 章 HTTP 严格 传输 安全 、 内 容 安 全 策略 和 钉 扎 





后 来 改称 为 内 容 安全 策略 。"2012 年 11 月 CSP 1.0 成 为 W3C 的 候选 议案 ?; 当前 CSP 1.1 相 关 工 作 还 
在 开展 中 。 

一 个 网 站 通过 设置 Content-Security-Policy 响 应 头 启用 所 和 需 的 CSP 策 略 。” 为 了 便于 读者 理 
解 ， 下 面 给 出 一 个 策略 示例 : 


Content-Security-Policy: default-src 'self'; img-src *; 
object-src *.cdn.example.com; 
script-src scripts.example.com 


该 策略 默认 只 允许 资源 从 同一 来 源 加 载 ， 但 允许 图 像 从 任何 URI 加 载 ， 插 件 内 容 只 从 指定 的 
CDN 地 址 加 载 ， 外 部 脚本 仅 从 scripts.example.com 加 载 。 

不 像 HSTS ，CSP 策 略 不 是 持久 的 ; 只 在 引用 它们 的 页 面 上 生效 ， 之 后 就 失效 了 。 因 此 , 使 
用 CSP 风 险要 小 很 多 。 如 果 产 生 错 误 ， 策 略 可 以 立即 更 新 生效 。 即 使 被 注入 响应 头 ， 也 不 会 有 持 
续 性 拒绝 服务 攻击 的 风险 。 























10.2.1 防止 混合 内 容 问题 


如 果 安 全 网 页 依赖 的 资源 ( 例如 ， 图像 和 脚本 ) 是 通过 明文 连接 检索 的 ， 就 会 出 现 混 合 内 容 
问题 。 这 些 年 浏览 器 虽然 对 这 个 问题 的 处 理 有 改善 , 但 它们 的 方法 通常 仍然 太 过 宽松 。 例 如 , 所 
有 浏览 器 都 允许 所 谓 的 被 动 式 混合 内 容 (passive mixed content )， 通 常 是 图 像 。 不 出 所 料 的 是 ， 
在 不 同 浏览 器 上 也 有 处 理 差异 。 例 如 ，Safari 目 前 不 强加 任何 限制 ， 甚 至 对 脚本 也 是 。 有 关 混 合 
内 容 问 题 的 详细 讨论 ， 可 以 查阅 5.8 节 。 

因为 CSP 让 我 们 能 够 控制 其 中 的 内 容 来 源 ， 所 以 可 以 用 它 来 指导 遵循 CSP 的 浏览 器 只 使 用 安 
全 协议 ， 也 就 是 对 WebSocket 协 议 用 wss， 剩 下 的 其 他 都 用 https。 

因此 , 只 解决 混合 内 容 问 题 , 而 不 尝试 改善 其 他 的 话 , 可 以 考虑 以 下 面 的 CSP 策 略 作为 出 发 点 : 


Content-Security-Policy: default-src https: 'unsafe-inline' ‘unsafe-eval'; 
connect-src https: wss: 


该 策略 包括 以 下 三 个 主要 内 容 。 

口 default-src 指 令 确定 该 页 面 可 以 从 任何 地 方 ( 任何 主机 和 任何 端口 ) 加 载 提供 了 安全 连 

接 (https ) 的 内 容 。 

口 'unsafe-inline' 和 'unsafe-eval' 表 达 式 重新 启用 内 联 JavaScript 和 动态 代码 执行 ， 这 些 默 
认 情 况 下 都 是 被 CSP 禁 用 的 。 理 想 情况 下 ,你 不 会 希望 在 策略 里 保留 这 些 表达 式 , 但 没有 
它们 大 多 数 现 有 的 应 用 都 会 被 阻 断 。 

口 connect-src 指 令 控 制 脚本 接口 (比如 XMLHttpRequest、WebSockets 、EventSource 等 ) 所 


















































QD Content Security Policy, http://people.mozilla.org/%7Ebsterne/content-security-policy/( Mozilla’s CSP Archive， 最 后 
更 新 于 2011 年 )。 

©® Content Security Policy, http:/www.w3.0rg/TR/CSP/ ( W3C Candidate Recommendation ， 检 索 于 2015 年 7 月 )。 

@ 你 可 能 会 看 到 在 博客 文章 中 提 到 的 其 他 标题 名 称 ， 例 如 ，X-Content-Security-Policy 和 X-Webkit-CSP。 这 些 头 存 
在 于 CSP 的 初期 ， 当 时 的 功能 主要 是 实验 使 用 。 今 天 唯一 应 用 的 头 名 称 是 官方 的 这 个 。 





















































使 用 的 内 容 位 置 。 
一 旦 确立 了 这 个 最 初 的 策略 可 以 工作 , 请 考虑 收 紧 JavaScript 执 行 (通过 删除 'unsafe-inline' 
和 'unsafe-eval' 表 达 式 ), 并 用 更 具体 的 主机 取代 通用 源 的 限制 (例如 ,使 用 https://cdn.example. 
com 取 代 https: )。 


10.2.2 策略 测试 


有 关 CSP 的 一 个 好 处 是 ， 能 够 在 执行 一 个 策略 的 同时 并 行 测试 其 他 策略 。 这 意味 着 ， 你 甚至 

可 以 在 比 开 发 环境 要 复杂 得 多 的 生产 环境 中 部 署 测试 策略 。 
Content-Security-Policy-Report-0nly 响 应 头 用 于 创建 一 个 仅 用 于 测试 的 策略 : 
Content-Security-Policy-Report-Only: default-src 'self' 


如 果 只 启用 报告 的 策略 出 错 , 并 不 会 阻塞 请 求 , 但 可 以 配置 报告 使 得 故障 可 被 传递 回 起 初 的 












































10.2.3 ”报告 


CSP 的 另 一 个 特点 是 支持 报告 ， 可 以 用 于 跟踪 违反 策略 的 行为 。 有 了 这 个 功能 ， 部 署 就 变 得 
容易 多 了 。 这 也 使 得 很 容易 知道 部 署 在 生产 策略 中 是 否 阻 断 其 他 资源 。 
要 想 启用 报告 ， 请 使 用 report-uri 指 令 


Content-Security-Policy: default-src 'self'; 
report-uri http://example.org/csp-report.cgi 


这 样 违反 CSP 策 略 的 行为 将 被 提交 给 指定 的 URI， 使 用 P0ST 方 法 请 求 并 将 数据 附 在 请 求 体 上 
报 。 例 如 : 
{ 


"csp-report": { 
"document-uri": "http://example.org/page.html", 
"referrer": "http://evil.example.com/haxor.html", 
"blocked-uri": "http://evil.example.com/image.png", 
"violated-directive": "default-src 'self'", 
"original-policy": "default-src 'self'; report-uri http://example.org/csp-report.cgi" 











10.2.4 浏览 器 支持 


当前 浏览 器 对 CSP 的 支持 较 好 。Chrome 和 Firefox 试 验 了 多 年 ,而 且 最 近 其 他 主流 浏览 器 也 逐 
步 开 始 支持 (参见 表 10-2 )。 桌 面 浏览 器 里 面 唯一 不 | Explorer。Microsoft 的 下 
一 代 浏 览 器 称 为 Edge， 在 Windows 10 中 首次 亮相 ， 支 持 CSP 1.0。- 














兼容 性 , https://msdn.microsoft.com/en-us/library/dn904497%28v=vs.85%29.aspx#content_security_policy_1.0( Microsoft Edge 
Developer Guide， 检 索 于 2015 年 7 月 )。 
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表 10-2 ”浏览 器 对 内 容 安全 策略 的 支持 









































浏览 器 CSP 支 持 开始 支持 的 版 本 
Android 浏 览 器 支持 4.4.x (2013 年 10 月 ) * 
Chrome 支持 V25 (2013 年 2 月 )。" 从 2011 年 6 月 开始 提供 实验 性 支持 
Firefox 支持 v23 (2013 年 8 月 )。s 从 2009 年 6 月 开始 在 Firefox v4 中 提供 实验 性 支持 * 
Internet Explorer 不 支持 ! 三 
Opera 支持 v15 (2013 年 7 月 ) 
Safari 支持 v7 (在 2013 年 9 月 在 iOS 7 中 ,2013 年 10 月 在 OS XX 10.9 中 )。 从 v6 开始 在 Mountain Lion 
中 提供 实验 性 支持 8 


a Content Security Policy, http://caniuse.com/contentsecuritypolicy (Can Iuse， 检索 于 2014 年 6 月 29 日 ) 。 

b Chrome 25 Beta: Content Security Policy and Shadow DOM, http://blog.chromium.org/2013/01/content-security-policy-and- 
shadow-dom.html (The Chromium Blog，2013 年 1 月 14 日 ) 。 

c New Chromium security features, June 2011, http://blog.chromium.org/2011/06/new-chromium-security-features-june.html 
(The Chromium Blog，2011 年 6 月 14 日 ) 。 

d Content Security Policy 1.0 lands in Firefox Aurora, https://hacks.mozilla.org/2013/05/content-security-policy-1-0-lands- 
in-firefox-aurora/ (Mozilla Hacks，2013 年 5 月 29 日 ) 。 

e Shutting Down XSS with Content Security Policy ， https://blog.mozilla.org/security/2009/06/19/shutting-down-xss-with- 
content-security-policy/ (Brandon Sterne，Mozilla Security Blog，2009 年 6 月 19 日 ) 。 

f Windows 10 的 新 版 浏览 器 Microsoft Edge 提 供 了 对 CSP 1.0 的 支持 。 

g Safari 6 gets Content-Security-Policy right, http://rachelbythebay.conm/w/2012/07/29/csp/ (rachelbythebay, 2012 年 7 月 29 日 ) 。 


10.3 钉 扎 


钉 扎 (pinning ) 是 一 种 安全 技术 ， 用 于 将 服务 与 一 个 或 者 多 个 密码 身份 (例如 证 书 和 公 钥 ) 
进行 关联 。 根 据 钉 扎 在 哪里 使 用 以 及 如 何 使 用 ， 可 用 于 实现 以 下 三 个 主要 安全 改进 。 

口 减 小 攻击 面 
目前 主要 被 使 用 的 TLS 身 份 验证 模式 依赖 公共 CA。 他 们 的 工作 是 给 域名 的 持 有 者 颁发 证 
书 ， 而 不 是 给 其 他 人 。 反 过 来 ， 用 户 代理 无 条 件 信 任 所 有 CA 颁发 的 证 书 。 这 种 模式 具有 
一 个 巨大 的 缺陷 : 颁发 证 书 不 需要 站 点 所 有 者 的 授权 。 其 结果 是 ， 任 何 CA 可 以 颁发 任何 
域名 的 证 书 。 由 于 有 数 百 个 CA 甚至 数 千 的 实体 会 以 这 样 或 者 那样 的 方式 影响 证 书 颁 发 ， 
攻击 面 是 巨大 的 。 
使 用 钉 扎 ， 持 有 者 可 以 指定 (PIN ) 允许 哪些 CA 颁发 证 书 给 自己 的 域名 。 他 们 可 以 观察 
市 场 ， 决 定 哪 一 个 或 两 个 CA 最 适合 自己 ， 并 相应 地 配置 钉 扎 。 之 后 他 们 不 再 关心 数 以 百 
计 的 公共 CA， 因 为 不 再 存在 风险 。 

口 密 钥 连续 性 
密 钥 连续 性 ( key continuity ) 是 前 面 一 种 使 用 场景 的 变化 ， 但 它 可 以 不 依赖 于 公共 CA 而 
使 用 。 我 们 假设 你 以 某 种 方式 知道 一 些 网 站 的 某 个 特定 密 钥 是 有 效 的 。 如 此 一 来 ， 每 次 
你 访问 网 站 时 ， 可 以 把 它们 当前 的 密 钥 与 你 的 “正确 ” 密 钥 进行 比较 ; 如 果 密 钥 匹 配 ， 
你 知道 自己 没有 受到 攻击 。 
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密 钥 连 续 性 最 常见 的 是 用 于 SSH 协 议 。 当 第 一 次 访问 时 将 密 钥 与 服务 器 相关 联 , 并 在 以 后 
的 访问 中 检查 。 这 也 被 称 为 首次 使 用 信任 。 

Firefox 在 证 书 无 法 验证 是 否 允 许 你 创建 一 个 例外 的 时 候 使 用 密 钥 连 续 性 ,并 且 仅 对 特定 证 
书 。 如 果 你 后 续 受 到 不 同 (MITM ) 证 书 的 攻击 ，Firefox 会 显示 一 个 证 书 并 且 再 次 警告 。 

口 身份 验证 

钉 扎 甚至 可 以 用 于 身份 验证 ， 基 于 可 靠 的 (安全 ) 信道 进行 通信 时 提供 所 需要 的 加 密 标 
识 给 最 终 用 户 。 例 如 ， 如 果 我 们 部 署 了 一 个 无 法 通过 主动 网 络 攻击 破坏 的 安全 DNS， 那 
么 就 可 以 用 它 来 存储 网 站 证 书 的 指纹 。 这 些 指纹 可 以 在 访问 每 个 网 站 时 作 检 查 。 


10.3.1 钉 扎 的 对 象 


钉 扎 可 以 用 于 多 个 加 密 元 素 , 通常 的 选择 是 证 书 和 公 钥 。 例 如 , 一 个 可 能 的 方法 是 你 保存 期 
望 访问 的 特定 网 站 的 一 个 或 者 多 个 证 书 的 列表 , 每 当 你 访问 网 站 时 就 可 以 将 实际 访问 得 到 的 证 书 
与 保存 的 证 书 列表 相 比 较 。 通 过 这 种 方法 ,很 容易 就 检测 出 伪造 的 证 书 。 由 于 证 书 不 会 改变 , 通 
过 它们 的 散 列 值 ( 例如 ，SHA256 ) 进行 跟踪 会 更 容易 实现 。 

在 实践 中 , 公 钥 钉 扎 更 加 实用 ， 因 为 证 书 有 时 重新 签发 并 不 会 改变 公 钥 。 多 个 证 书 使 用 相同 
的 公 钥 也 是 常见 的 。 因 此 ， 如 果 你 对 公 钥 钉 扎 ， 可 以 让 与 它 相 关联 的 所 有 证 书 都 正常 运作 。 

虽然 协议 不 直接 依赖 证 书 公 钥 钉 扎 ， 但 对 于 TLS 来 说 钉 扎 最 好 的 元 素 是 X.509 证 书 的 
SubjectPublickeyInfo ( SPKI ) 字段 。 这 个 字段 包含 公 钥 本 身 以 及 进行 准确 识别 所 必需 的 额外 元 
数据 : 


SubjectPublickeyInfo ::= SEQUENCE { 
algorithm Algorithmldentifier, 
subjectPublickey BIT STRING } 


如 果 想 检查 指定 证 书 的 SubjectPublickeyInfo 字 段 内 容 ， 可 以 使 用 以 下 命令 : 


$ openssl x509 -in server.crt -noout -text 





































































































Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 

Public-Key: (2048 bit) 

Modulus: 
00:b8:0e:05:25:f8:81:e9:e7:ba:21:40:5f:d7:d4: 
09:5c:8c:d4:e9:44:e7:c0:04:5b:7f:6e:16:8a:01: 
37:2b:b9:ed:b6:09:cd:1f:55:d5:b8:ee:79:13:ae: 
e7:1d:6a:ec:01:7c:02:5a:10:af:f9:68:28:ff:d5: 
61:b0:37:f8:a6:b2:87:42:90:3c:70:19:40:67:49: 
99:1d:3c:44:3e:16:4e:9a:06:e4:06:66:36:2f:23: 
39:16:91:cf:92:56:57:1d:30:db:71:5a:68:a2:c3: 
d5:07:23:e4:90:8e:9e:fb:97:ad:89:d5:31:3f:c6: 
32:d0:04:17:5c:80:9b:0c:6d:9b:2a:b2:f9:39:ac: 
85:75:84:82:64:23:9a:7d:c4:96:57:1e:7b:bf:27: 














GD 有 关 X.509 证 书 结构 的 更 多 信息 ， 请 参考 3.3 节 。 
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2e:48:2d:9e:74:90:32:c1:d8:91:54:12:af:5a:bb: 
01:20:15:0e:ff:7b:57:83:9d:c2:fe:59:ce:ea:22: 
6b:77:75:27:01:25:17:e1:41:31:4c:7f:a8:eb:0e: 
8c:b9:18:p2:9a:cc:74:5e:36:1f:8f:a1:f4:71:39: 
ff:72:e6:a0:91:f0:90:b2:5a:06:57:79:b6:1e:97: 
98:6b:5c:3a:a9:6a:be:84:bc:86:75:cb:81:6d:28: 
68:co:e5:d5:3e:c5:f0:7d:85:27:ae:ce:7a:b7:41: 
ce:f9 
Exponent: 65537 (0x10001) 


要 生成 一 个 散 列 SPKI， 首 先 将 字段 从 证 书 提取 到 新 文件 : 


$ openssl x509 -in server.crt -noout -pubkey | \ 
openssl asniparse -inform PEM -noout -out server.spki 








接 入 你 可 以 计算 它 的 SHA256 散 列 值 ， 并 使 用 Base64 进 行 编码 : 


$ openssl dgst -sha256 -binary server.spki | base64 
ZzB8EXAKscl3P+4a5lFszGaEniLrNswOQ1ZGwD+TzADg= 

















10.3.2 ”在 哪里 钉 扎 


谈 到 决定 在 哪里 钉 扎 ， 答 案 并 不 明确 。 最 明显 的 选择 是 对 服务 器 证 书 的 公 钥 钉 扎 , 但 这 种 方 
法 有 几 个 缺点 。 其 中 之 一 是 服务 器 天 然 就 容易 受到 攻击 。 如 果 服 务 咒 的 私 钥 被 泄露 ， 此 时 用 新 的 
私 钥 进行 替换 ,那么 旧 的 钉 扎 将 不 再 有 效 。 即 使 没有 攻击 ， 服 务 器 密 钥 也 应 经 常 轮转 ， 以 最 小 化 
使 用 相同 密 钥 保 护 的 数据 量 。 最 后 , 通常 复杂 部 署 的 同一 个 站 点 依赖 于 多 个 密 钥 和 证 书 , 对 所 有 
这 些 进 行 钉 扎 将 会 很 困难 并 且 费 时 。 

出 于 这 个 原因 , 我 们 可 以 考虑 钉 扎 在 证 书 链 的 其 他 地 方 。 当 前 大 多 数 证 书 链 以 最 终 实 体 证 书 
开始 ， 之 后 有 一 个 中 间 CA 证 书 ， 最 后 是 根 证 书 。 如 果 对 后 两 者 中 的 一 个 作 钉 扎 ， 应 该 能 够 改变 
服务 器 的 身份 ， 从 相同 CA 得 到 新 的 证 书 ， 同 时 继续 使 用 相同 的 钉 扎 。 

这 听 起 来 很 理想 , 但 也 有 一 些 问题 。 首 先 ，CA 通 常 有 多 个 根 。 他 们 也 有 多 个 中 间 CA 用 于 不 
同类 型 的 证 书 ， 为 了 将 风险 降 至 最 低 ， 会 更 改 签名 算法 ， 等 等 。 下 一 次 你 从 同一 CA 得 到 的 证 书 
有 可 能 会 使 用 不 同 的 中 间 证 书 和 根 证 书 。 

此 外 ,为 了 支持 旧版 客户 端 ，CA 还 依赖 其 他 更 为 成 熟 的 CA 的 根 进 行 交 又 认证 。 这 意味 着 ， 
一 个 给 定 的 证 书 可 能 有 多 个 有 效 的 信任 路 径 。 在 实际 应 用 中 , 用 户 代理 可 以 决定 使 用 与 你 所 想 路 
径 不 同 的 信任 路 径 。 如 果 发 生 这 种 情况 ,并 且 你 的 钉 扎 关联 到 一 个 被 排除 信任 的 路 径 ， 验 证 将 失 
败 。 因 此 钉 扎 的 最 佳 选择 是 第 一 个 中 间 CA 证 书 。 由 于 它 的 签名 是 对 最 终 实 体 证 书 ， 颁 发 CA 的 公 
钥 必 须 始 终 在 证 书 链 中 。 这 种 方法 确保 用 户 浏览 器 将 无 法 绕 过 钉 扎 ， 但 未 来 CA 仍然 有 可 能 使 用 
不 同 的 中 间 CA 签 发 证 书 。 虽然 没 有 明确 的 解决 办 法 ,但 可 以 采取 下 面 这 两 个 降低 风险 的 措施 。 
口 要 求 你 的 CA 支持 钉 扎 ， 并 承诺 确保 你 的 钉 扎 在 未 来 的 证 书 中 保持 有 效 。 

口 始终 有 来 自 不 同 CA 的 可 选 证 书 和 相应 钉 扎 。 

使 用 钉 扎 最 高 效 的 运营 方式 是 用 自己 的 中 间 CA。 通 过 这 个 设置 ， 相 同 的 钉 扎 对 你 全 部 的 证 

书 都 有 效 ,， 并 且 你 知道 新 的 证 书 会 用 相同 的 父 证 书签 发 。 不 幸 的 是 ,这 种 方式 虽然 高 效 但 也 非常 
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昂贵 ， 很 少 有 人 能 承担 获取 并 管理 自己 的 中 间 CA 的 费用 。 

最 安全 的 方式 是 只 对 你 必须 访问 的 密 钥 进行 钉 扎 。 这 能 确保 其 他 人 无 法 生成 通过 钉 扎 验证 的 
有 效 证 书 。 对 大 多 数 网 站 而 言 ， 这 意味 着 直接 对 服务 器 证 书 钉 扎 ( 并 接受 因此 带 来 的 所 有 其 他 困 
难 )。 

不 论 你 决定 使 用 哪 种 方式 , 至 少 保留 一 个 钉 扎 有 效 的 备份 证 书 链 。 这 是 从 密 钥 丢失 或 者 钉 扎 
失败 中 优雅 恢复 的 唯一 途径 。 


10.3.3 ”应 该 使 用 钉 扎 吗 


钉 扎 是 一 种 减 小 攻击 面 的 强大 技术 , 但 也 是 有 代价 的 。 要 部 署 钉 扎 , 你 需要 很 好 地 掌握 权衡 ， 
并 且 需 要 一 个 成 熟 的 组 织 来 应 对 运营 它 的 挑 成 。 很 明显 的 问题 是 钉 扎 仅 确保 对 所 钉 扎 的 身份 建立 
TLS 连 接 。 不 管 出 于 什么 原因 ， 如 果 你 失去 了 这 些 身份 ， 会 发 生 什 么 ? 













































































担心 自己 造成 的 拒绝 服务 攻击 可 能 是 钉 扎 一 直 发 展 缓慢 的 原因 。 浏 览 器 厂商 明白 这 一 点 , 从 
钉 扎 提案 中 也 可 以 显而易见 地 看 出 来 。 不同 于 HSTS 常 见 的 长 期 策略 保留 期 限 ( 比如 一 年 ) 钉 扎 
周期 通常 以 天 计 。 





然而 ， 如 果 你 认为 自己 的 网 站 可 能 会 通过 某 个 以 欺诈 方式 颁发 的 证 书 (例如 ,你 正在 运营 
一 个 高 知名 度 的 网 站 ) 受到 攻击 ， 那 么 钉 扎 是 保护 自己 的 唯一 方式 。 对 于 其 他 人 ， 钉 扎 可 能 并 
不 值得 。 


10.3.4 在 本 机 应 用 程序 中 使 用 钉 扎 


最 直接 使 用 钉 扎 的 是 本 机 应 用 程序 , 你 可 以 控制 通信 的 双方 。 这 正 是 桌面 应 用 和 移动 应 用 程 
序 的 情况 。 在 一 个 日 益 互 联 的 世界 ， 越 来 越 多 的 应 用 程序 有 它们 交互 的 后 端 ， 并 且 很 多 都 使 用 
HTTPS 进 行 通信 。 

1. 私有 后 端 

有 两 种 方法 可 以 采用 。 当 后 端 仅 被 你 自己 的 应 用 程序 使 用 的 时 候 , 你 可 以 生成 自己 的 根 证 书 
私 钥 ,并 用 它 来 颁发 自己 的 证 书 。 通 过 将 根 证 书 公 钥 颁发 到 你 的 应 用 程序 ， 就 能 可 靠 地 验证 证 书 
签名 。 

在 许多 平台 上 ， 这 种 类 型 的 钉 扎 很 容易 做 到 。 例 如 ，Java 附 带 了 一 些 默 认 使 用 的 可 信和 根 。 每 
当 你 打开 一 个 到 网 站 的 HTTPS 连 接 , 这 些 可 信 根 可 用 于 验证 连接 的 真实 性 。 但 是 ,因为 你 不 想 相 
信 所 有 的 根 ， 可 以 创建 自己 的 可 信 证 书库 ( trust store )， 然 后 只 在 里 面 配置 你 自己 的 根 。 无 论 何 
时 你 通过 指定 自己 的 可 信 证 书库 来 建立 到 自己 网 站 的 HTTPS 连 接 ， 那么 就 是 在 使 用 钉 扎 。 

如 果 不 希 望 维护 自己 的 根 密 钥 ， 如 前 所 述 ， 可 以 用 SPKI 钉 扎 。 如 果 你 已 经 写 了 一 些 代码 ， 
Moxie Marlinspike 在 他 的 文章 中 介绍 了 这 两 种 方法 。” 





































































































GD Your app shouldn't suffer SSL’s problems, http://www.thoughtcrime.org/blog/authenticity-is-broken-in-ssl-but-your-app- 
ha/( Moxie Marlinspike，2011 年 12 月 5 
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Android 从 4.2 版 本 开始 ,已 经 比较 有 限 地 支持 了 公 钥 钉 扎 。"™ 

2. 公共 后 端 

在 某 些 情况 下 ， 应 用 程序 使 用 有 第 三 方 ( 即 公 共 ) 访问 的 后 端 ， 于 是 必须 从 公共 CA 获取 证 
书 。 这 样 一 来 , 其 他 人 将 能 够 连接 到 服务 并 且 验 证 其 真实 性 。 你 将 无 法 部 署 钉 扎 来 确保 它们 的 访 
问安 全 ， 直 到 至 少 有 一 个 钉 扎 议案 得 到 广泛 支持 。 

如 果 你 还 是 想 保 护 自 己 的 应 用 程序 访问 ， 可 以 遵循 10.3.3 节 中 的 建议 和 对 公 钥 钉 扎 的 建议 。 
一 个 更 安全 的 方法 可 能 是 创建 另 一 个 私有 后 端 ， 在 这 种 情况 下 ， 你 可 以 用 你 自己 的 根 密 钥 证 书 。 























10.3.5 ”Chrome 公 钥 钉 扎 


Google 在 Chrome 12 中 开始 尝试 公 钥 钉 扎 ,，“ 配 备 了 可 自 定义 的 HSTS 和 钉 扎 设置 的 用 户 界面 。” 
之 后 ， 在 Chrome13 中 增加 ( 预 加 载 ) 了 大 部 分 他 们 自己 的 网 站 钉 扎 。™ 

幕后 HSTS 预 加 载 和 钉 扎 使 用 相同 的 机 制 ; 所 需要 的 信息 在 浏览 器 本 身 中 进行 硬 编码 。 由 于 
Chrome 是 基于 开源 的 Chromium 浏 览 器 ， 我 们 可 以 查看 包含 此 信息 的 源 文件 。” 

这 里 只 有 一 个 策略 文件 ， 它 包含 有 两 个 清单 的 一 个 JSON 结 构 : (1) 支持 HSTS 或 钉 扎 的 网 站 ; 
(2) 用 于 为 它们 定义 可 接受 的 公 钥 的 pinset。 

每 个 网 站 条 目 都 有 相应 的 HSTS 配 置 和 期 望 的 pinset 信 息 : 


{ "name": "encrypted.google.com", 
"include subdomains": true, 
"mode": "force-https", 

"pins": "google" 
} 
pinset 是 一 个 允许 的 SPKI 散 列 值 的 集合 ; 它 使 用 的 名 称 并 不 是 证 书 文件 中 的 ， 而 是 浏览 器 附 
带 的 : 

{ "name": "google", 

"static spki hashes": [ 
"GoogleBackup2048", 
"GoogleG2" 





































































































] 
} 


通过 pinset 方 式 , Chrome 会 创建 一 个 公 钥 的 白 名 单 用 于 证 书 链 钉 扎 的 网 站 。 这 种 格式 也 允许 
公 钥 的 黑 名 单 ( 通过 bad_static_spki_hashes 参 数 设 置 )， 但 目前 还 没有 网 站 使 用 。 还 有 一 个 规 











QD Certificate pinning in Android 4.2, http://nelenkov.blogspot.ca/2012/12/certificate-pinning-in-android-42.html ( Nikolay 
Elenkov，2012 年 12 月 12 日 )。 

© New Chromium security features, June 2011, http://blog.chromium.org/2011/06/new-chromium-security-features-june. 
html (The Chromium Blog，2011 年 6 月 14 日 )。 

@ Chrome 浏 览 器 目前 版 本 仍 包 含 此 用 户 界面 ， 可 以 通过 chrome:/net-internals/ffhsts 访 问 。 

由 Public key pinning, https://www.imperialviolet.org/2011/05/04/pinning.html ( Adam Langley，2011 年 5 月 4 日 )。 

©) transport security state static.json , https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_ 
security_state_static.json( Chromium 源 代码 ， 检 索 于 2015 年 4 月 20 日 )。 
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定 是 ， 当 SNI 不 可 用 的 时 候 禁 止 钉 扎 ， 这 对 于 一 些 仅 当 启用 SNI 时 才 提 供 正 确证 书 链 的 网 站 是 必 
要 的 。? 

正如 你 所 看 到 的 ， 这 一 切 似乎 很 简单 。 由 于 Chrome 的 开发 者 已 经 慷慨 地 允许 其 他 人 在 其 浏 
览 器 中 包含 他 们 的 钉 扎 信息 ， 一 些 高 知名 度 的 网 站 和 项 目 (例如 Twitter 和 TOR ) 也 受 钉 扎 保 护 。 
数 以 百 计 的 网 站 HSTS 信 息 被 预 加 载 。 


警告 


为 了 允许 用 户 MITM 自 己 的 流量 ， 钉 扎 对 手动 添加 的 根 证 书 不 作 限 制 。 一 方面 允许 防 
病毒 产品 进行 本 地 调试 (例如 ， 使 用 本 地 开发 者 代理 ) 和 内 容 检 查 ; 另 一 方面 ， 它 也 
允许 透明 的 企业 通信 拦截 。 据 报道 ， 一 些 恶意 软件 作者 安装 自 定 义 证 书 进 行 MITM 攻 
击 ; 此 类 证 书 也 将 绕 过 和 钉 扎 的 验证 。” 


Chrome 浏 览 器 包含 将 钉 扎 验证 失败 信息 报告 给 Google 的 报告 机 制 。( 有 趣 的 是 ， 出 于 隐私 的 
原因 , 该 报告 只 在 Google 自 己 的 属性 中 启用 )。 我 们 知道 这 些 是 因为 Chrome 的 钉 扎 发 现 了 一 些 PKI 
事件 : DigiNotar 、TURKTRUST 和 ANSSI。 你 可 以 在 第 4 章 中 了 解 这 方面 的 内 容 。 

注意 
2014 年 9 月 发 布 的 Firefox 32 增 加 了 对 硬 编 码 公 铀 钉 扎 的 支持 ,这 类 似 于 已 经 在 Chrome 
浏览 器 中 使 用 的 机 制 。 Firefox 34 增 加 了 在 Android 上 对 硬 编码 公 钥 钉 扎 的 支持 。 















































10.3.6 Microsoft Enhanced Mitigation Experience Toolkit 


Internet Explorer 目 前 不 支持 网 站 自主 的 钉 扎 ， 但 Microsoft 提 供 了 一 个 附加 的 名 为 enhanced 
mitigation experience toolkit( EMET )“ 的 工具 ， 可 用 于 最 终 用 户 单独 保护 自己 。 虽 然 EMET 大 多 
集中 在 缓冲 溢出 和 类 似 的 攻击 ,其 特色 之 一 是 证 书 钉 扎 .EMET5 中 包含 了 几 个 关键 Microsoft 网 站 、 
Facebook 、Twitter 和 Yahoo 的 钉 扎 规则 。 用 户 如 果 想 用 ， 可 以 添加 自己 的 钉 扎 。” 


10.3.7 ”HTTP 公 铀 钉 扎 扩展 


HTTP 公 钼 钉 扎 扩展 (public key pinningextension for HTTP，HPKP )“ 自 2011 年 开始 开发 ， 是 












































QD Chrome 支 持 SNI， 这 就 是 为 什么 这 个 功能 初 看 起 来 似乎 不 合 逻 辑 。 但 是 ， 对 于 某 些 不 支持 扩展 ( 这 意味 着 Chrome 
浏览 器 无 法 发 送 SNI 信 息 ) 的 情况 ，Chrome 已 准备 好 从 TLS 1.2 回 退 到 SSL 3 。 

© New Man-in-the-Middle attacks leveraging rogue DNS, http://blog.phishlabs.com/new-man-in-the-middle-attacks-leverag- 
ing-rogue-dns ( Don Jackson，PhishLabs，2014 年 3 月 26 日 )。 

@) Public keypinning released in Firefox, https://blog.mozilla.org/security/2014/09/02/public-key-pinning/( Mozilla Security 
Blog，2014 年 9 月 2 日 )。 

由 The Enhanced Mitigation Experience Toolkit, https://support.microsoft.com/en-us/kb/2458544 ( Microsoft，2013 年 2 月 12 日 )。 

© Announcing EMET 5.0 Technical Preview, http://blogs.technet.com/b/srd/archive/2014/02/25/announcing-emet-5-0-technical- 
preview.aspx ( Microsoft Security Research and Defense Blog，2014 年 2 月 25 日 )。 

(© RFC 7469: Public Key Pinning Extension for HTTP, https://datatracker.ietf.org/doc/rfc7469/ ( Evans 等 ，2015 年 4 月 )。 
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对 HTTP 用 户 代 理 的 公 钥 钉 扎 规范 。 它 由 Google 发 起 ， 虽 然 已 经 在 Chrome 中 实现 钉 扎 ， 但 也 清楚 

手动 维护 钉 扎 站 点 列表 很 难 规模 化 。 在 写 这 本 书 的 时 候 ，HPKP 已 接近 完成 。 虽 然 几 乎 没有 浏览 

厂商 声明 对 它们 的 支持， 但 Chrome 和 Firefox 期 望 一 旦 HPKP 完 成 就 在 自己 的 浏览 器 中 实现 它 。 
为 HPKP 和 HSTS 之 间 有 许多 相似 之 处 ， 如 果 你 还 没有 阅读 HSTS 部 分 (本 章 前 面 ), 我 建议 

你 现在 就 去 读 一 下 。 以 下 是 这 些 共同 点 的 快速 概览 。 

口 HPKP 设 置 为 HTTP 级 别 ,使 用 Public-Key-Pins( PKP ) 响应 头 。 

口 策略 通过 max-age 参 数 设 置 保留 期 ， 它 指定 以 秒 为 单位 的 持续 时 间 。 

口 使 用 includeSubDomains 参 数 时 钉 扎 可 以 扩展 到 子 域 。 

口 PKP 响 应 头 只 能 用 于 没有 任何 错误 的 安全 加 密 ; 如 果 出 现 多 个 响应 头 ， 仅 会 处 理 第 1 个 。 

口 接收 到 新 的 PKP 头 时 ， 其 中 的 信息 会 覆盖 先前 保存 的 钉 扎 和 元 数据 。 

钉 扎 是 通过 指定 散 列 算法 和 使 用 该 算法 计算 的 SPKI 指 纹 来 创建 的 。 例 如 : 

Public-Key-Pins: max-age=2592000; 


pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; 
pin-sha256="LPJNul+wow4m6DsqxbninhsWHlwfpoJecwQzYpOLmCQO=" 


目前 唯一 支持 的 散 列 算法 是 SHA256; 配置 钉 扎 时 使 用 sha256 标 识 符 。 指 纹 是 使 用 Base64 编 
码 进行 编码 的 。 

为 了 启用 钉 扎 ,你 必须 指定 策略 保留 期 限 ， 并 提供 至 少 两 个 钉 扎 。 其 中 一 个 钉 扎 必须 存在 于 
收 到 钉 扎 的 连接 的 证 书 链 中 。 其 他 钉 扎 则 不 能 存在 。 由 于 钉 扎 是 一 个 潜在 的 危险 操作 ( 很 容易 出 
错 ， 并 执行 自我 造成 的 拒绝 服务 攻击 ), 第 二 个 钉 扎 需要 作为 备份 。 推 荐 的 做 法 是 ， 从 不 同 的 CA 
备份 证 书 并 且 离 线 保存 。 此 外 ,建议 对 备份 证 书 偶尔 进行 测试 。 你 肯定 不 希望 在 需要 它 的 时 候 才 
发 现 它 已 经 无 效 了 。 


1. 报告 
HPKP 不 同 于 HSTS ， 而 是 与 CSP 类 似 。HPKP 指 定 一 种 机 制 用 于 用 户 代理 报告 钉 扎 验证 失败 。 
该 功能 通过 report -uri 参 数 启用 ， 它 包含 提交 报告 的 人 口 。 


Public-Key-Pins: max-age=2592000; 
pin-sha256="E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g="; 
pin-sha256="LPJNul+wow4m6DsqxbninhswHlwfp0JecwQzYpOLmCQ="; 
report-uri=http://example.com/pkp-report 


报告 使 用 POSTHTTP 请 求 提交 ,其 中 包括 一 个 JSON 结 构 在 请 求 主体 。 例如 ( 取 自 HPKP 规 范 
的 草案 ): 
{ 


"date-time": "2014-04-06T13:00:502”， 
"hostname": "www.example.com", 
"port": 443， 
"effective-expiration-date": "2014-05-01T12:40:50Z" 
"include-subdomains": false, 
"served-certificate-chain": [ 
"----- BEGIN CERTIFICATE----- \n 
MIIEBDCCAuygAwIBAgIDAjppMAOGCSqGSTb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT\n 









































































































































10.3 钉 扎 ”267 





HFa911lF7b1icq26KqltyMdMKVvvBulRP/F/A8rLIQjcxz++iPAsbw+zOzlTvjwsto\n 
WHPbqCRiOwY1nQ2pM714A5AuTHhdUDqB106gyHA43LL5Z2/qHQF1hwFGPa4NrzQU6\n 
yuGnBXj8ytqUoCwIPX4WecigUCAkVDNx\n 

----- END CERTIFICATE-----", 


这 
"validated-certificate-chain": [ 
MIITEBDCCAuygAwIBAgIDAjppMAOGCSqGSTb3DOEBBQUAMEIxCzAJBgNVBAYTAlVT\n 


HFa911lF7b1icq26KqltyMdMKVvvBulRP/F/A8rLIQjcxz++iPAsbw+zOzlTvjwsto\n 
WHPbqCRiOwY1nQ2pM714A5AuTHhdUDqB106gyHA43LL5Z2/qHQF1hwFGPa4NrzQU6\n 
yuGnBXj8ytqUoCwIPX4WecigUCAkVDNx\n 

----- END CERTIFICATE-----", 


"known-pins": [ 
"pin-sha256=\"d6qzRu9zOECb90Uez27xWltNsjoe1iMd7GkYYkVoZWmM=\""， 
"pin-sha256=\"E9CZ9INDbd+2eRQozYqqbQ2yXLVKB9+xcprMF+44U1g=\"" 

] 

} 


2. 部 署 非 强 制 模式 

当 HPKP 部 署 非 强制 模式 时 报告 功能 特别 有 用 ， 可 以 通过 使 用 Public-Key-Pins-Report-Only 响 
应 头 实现 。 这 种 方法 允许 组 织 部 署 钉 扎 而 不 担心 失败 ,确保 其 配置 正确 之 后 才 切 换 成 强制 模式 。 根 
据 自 己 的 风险 ， 某 些 组 织 可 能 会 选择 永 不 启用 强制 模式 ;知道 被 攻击 通常 像 避免 被 攻击 一 样 有 用 。 























10.3.8 DANE 





已 命名 实体 的 基于 DNS 的 身份 验证 (DNS-based authentication ofnamed entities, DANE ) "是 
设计 用 于 在 域名 与 一 个 或 多 个 加 密 标识 之 间 提 供 关联 的 一 个 标准 。 想 法 是 域名 的 所 有 者 已 经 控 
制 自己 的 DNS 配置 ， 可 以 使 用 DNS 作为 一 个 独立 的 信道 来 分 配 TLS 强 身份 验证 需要 的 信息 。 
DANE 直 截 了 当 ， 并 且 相 对 容易 部 署 ， 但 本 身 不 提供 任何 安全 性 。 相 反 ， 它 依赖 域名 系统 安全 
扩展 (domain name system security extensions，DNSSEC ) 的 可 用 性 。? 

DNSSEC 是 扩展 不 提供 任何 安全 性 的 当前 DNS 实现 的 一 次 尝试 , 此 次 扩展 使 用 支持 使 用 数字 
签名 进行 身份 验证 的 新 架构 。 通 过 身份 验证 ,我 们 能 够 验证 获取 的 DNS 信息 是 否 正 确 。DNSSEC 
颇 有 争议 ， 它 已 经 发 展 超过 十 年 ， 但 部 署 进展 缓慢 。 对 于 DNSSEC 是 对 当前 DNS 系统 的 改进 ， 还 
是 应 该 寻求 蔡 代 ， 专 家 的 意见 也 是 大 相 径 庭 。 

今天 通常 可 以 在 后 端 部 署 DNSSEC, 但 更 多 最 终 用 户 的 支持 (在 客户 端 操作 系统 中 ) 将 要 花 

















































































































QD RFC 6698: The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA， 
https://tools.ietf.org/html/rfc6698 ( Hoffman 和 Schlyter，2012 年 8 月 )。 
©® Domain Name System Security Extensions, https://en.wikipedia.org/wiki/Domain Name System Security Extensions 


( 维基 百科 ， 检 索 于 2014 年 6 月 29 日 )。 
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费 很 长 的 时 间 。 
1. DANE 使 用 案例 
在 当前 的 TLS 验 证 模型 中 , 我 们 依靠 的 方法 有 两 个 步骤 : (1) 有 一 组 权威 的 证 书 颁发 机 构 ， 我 
们 信任 他 们 只 对 真正 的 域名 所 有 者 颁发 证 书 ; (2) 当 一 个 网 站 被 访问 时 ， 用 户 代 理 ( 如 浏览 器 ) 
检查 证 书 和 预期 的 名 称 是 否 正确 。 需要 这 种 拆 分 模型 , 因为 对 遥远 的 当事人 进行 身份 验证 ( 例如， 
从 来 没有 见 过 的 人 ) 得 到 正确 结果 是 非常 困难 的 , 尤其 是 规模 化 时 。 该 系统 的 设计 是 建立 在 以 下 
假设 之 上 : 由 DNS 提供 的 信息 是 不 可 靠 的 〈 也 就 是 说 ， 主 动 网 络 攻击 者 可 以 暗中 破坏 它 )。 
通过 DNSSEC， 可 以 确保 我 们 收 到 的 信息 来 自 域名 拥有 者 的 通信 信道 ; 这 意味 着 ， 我 们 并 不 
一 定 需要 第 三 方 (CA ) 为 其 提供 任何 担保 。 下 面 是 几 个 有 趣 的 用 例 。 
口 安全 部 署 的 自 签名 证 书 
现在 自 签 名 证 书 被 认为 是 不 安全 的 ， 因 为 普通 用 户 没有 办 法 区 分 真正 的 证 书 和 自 签名 的 
MITM 证 书 。 换 句 话说 ， 所 有 的 自 签名 证 书 看 起 来 是 一 样 的 。 但是， 我们 可 以 使 用 一 个 安 
全 的 DNS 来 钉 扎 证 书 ， 从 而 使 我 们 的 用 户 代理 知道 自己 使 用 的 证 书 是 正确 的 。MITM 证 书 
很 容易 被 发 现 。 
口 安全 部 署 私有 根 证 书 
如 果 你 能 安全 钉 扎 服务 器 证 书 ， 那 么 一 样 也 可 以 钉 扎 证 书 链 中 的 其 他 证 书 。 这 意味 着 ， 
你 可 以 创建 自己 的 根 证 书 ， 并 让 用 户 代 理 信任 它 ， 但 只 针对 你 自己 的 网 站 。 这 是 前 面 用 
例 的 变化 ， 那 些 拥 有 多 个 站 点 的 人 会 对 此 很 感 兴趣 。 你 只 需 创 建 一 次 所 有 网 站 的 根 证 书 
的 钉 扎 ， 而 不 需要 钉 扎 单 独 的 证 书 〈 其 中 有 许多 人 需要 经 常 旋转 证 书 )。 
口 证 书 和 公 铀 钉 扎 
DANE 不 一 定 要 取代 当前 的 信任 体系 。 你 可 以 容易 地 钉 扎 CA 颁发 的 证 书 和 公共 CA 的 根 。 
通过 这 样 做 可 以 减少 攻击 面 ， 有 效 地 决定 允许 由 哪些 CA 颁发 证 书 。 
2. 实现 
DANE 引 入 了 一 个 新 的 DNS 条 目 类 型 ， 称 为 TLSA 资 源 记 录 ( TLSA resourcerecord, TLSA RR 
或 TLSA )， 其 用 于 承载 证 书 关联 。TLSA 包 括 四 个 字段 : (1) 证 书 用 途 (certificate usage ) 用 于 指 
定 一 个 证 书 链 中 的 哪 部 分 被 钉 扎 ， 以 及 如 何 进行 验证 ; (2) 选择 器 〈selector ) 指定 什么 元 素 用 于 
钉 扎 ; (3) 匹配 类 型 (matching type ) 用 以 选择 精确 匹配 或 散 列 ; (4) 证 书 关联 数据 〈 certificate 
association data )， 它 带 有 真正 用 于 匹配 的 原始 数据 。 这 四 个 字段 的 不 同 组 合用 于 部 署 不 同类 型 的 
钉 扎 。 
@ 证 书 用 途 
证 书 用 途 ( certificate usage ) 字段 可 以 有 四 种 不 同 的 值 。 在 一 开始 的 RFC 中 ， 它 的 值 只 是 笛 
单 的 数字 从 0 到 3。 后 续 RFC 增 加 了 缩写 使 其 更 容易 记忆 。” 
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QD RFC 7218: Adding Acronyms to Simplify Conversations about DANE , https://tools.ietf.org/html/rfc7218( Gudmundsson ， 
2014 年 4 月 )。 
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口 CA 约束 (0; PKIX-TA ) 
创建 一 个 CA 的 钉 扎 ， 其 匹配 的 证 书 必须 在 链 中 的 任何 地 方 存在 。PKIX 像 往常 一 样 执行 验 
证 ， 并 且 根 证 书 必须 来 自 一 个 可 信 CA。 

口 服务 证 书 约束 (1; PKIX-EE ) 
创建 一 个 最 终 实体 钉 扎 ， 其 证 书 必 须 在 证 书 链 的 第 一 个 位 置 呈现 。PKIX 像 往常 一 样 执行 
验证 ， 并 且 根 证 书 必须 来 自 一 个 可 信 CA。 

口 信任 锚 断 言 (2; DANE-TA ) 
对 必须 存在 于 信任 链 中 的 CA 证 书 ( 根 或 中 间 ) 创建 信任 锚 钉 扎 。PKIX 像 往常 一 样 执行 验 
证 ,但 用 户 代 理 必须 信任 被 钉 扎 的 CA 证 书 。 此 选项 可 用 于 不 通过 公共 CA 颁发 的 证 书 。 

口 域 颁发 的 证 书 (3; DANE-EE ) 
创建 一 个 最 终 实体 钉 扎 ， 其 证 书 必 须 在 证 书 链 的 第 一 个 位 置 呈现 。 没 有 PKIX 了 验证， 并 且 
假定 被 钉 扎 的 证 书 是 可 信 的 。 

@ 选择 器 

选择 器 (selector ) 字段 指定 关联 如 何 呈 现 。 这 使 我 们 能 够 创建 一 个 与 证 书 (0; Cert ) 的 关 












































联 或 者 创建 一 个 与 SubjectPublickeyInfo 字 段 (1; SPKI1 ) 的 关联 。 


和 2 » 


@ 匹配 类 型 

匹配 类 型 ( matching type ) 字段 指定 匹配 是 通过 直接 比较 (0; Full ) 或 通过 散 列 (分别 是 1 
或 SHA2-256 和 SHA2-512 )。 支 持 SHA256 是 必需 的 ;建议 支持 SHA512。 

@ 证 书 关联 数据 

证 书 关联 数据 ( certificate association data ) 字 段 包 含 用 于 关联 的 原始 数据 。 其 内 容 通 过 在 TLSA 
















































































记录 其 他 三 个 字段 的 值 来 确定 。 证 书 始终 是 一 个 关系 的 出 发 点 ， 假 定 是 DER 格式 。 


3. 部 署 
抛 开 DNSSEC 配 置 和 签名 ( 只 因为 它 超出 了 本 书 的 范围 ) DANE 很 容易 部 署 。 你 需要 做 的 只 




















是 在 正确 的 名 称 下 添加 一 条 新 的 TLSA 纪 录 。 这 个 名 称 不 仅 是 想 要 稳固 的 域名 ， 它 是 由 点 号 分 隔 


的 以 下 三 段 组 合 




















口 第 一 段 是 该 服务 使 用 的 端口 ， 带 有 前 缀 下 划 线 。 例 如 ，HTTPS 用 443，SMTP 用 25。 

口 第 二 段 是 加 上 前 缀 下 划 线 的 协议 。 支 持 三 种 协议 : UDP、TCP 和 SCTP。 对 于 HITTPS， 该 
段 将 为 tcp。 

口 第 三 部 分 是 你 想 要 为 其 创建 关联 的 完整 限定 域名 。 例 如 ，www.example.com。 

在 下 面 的 例子 中 ， 关 联 是 在 域名 与 CA 的 公 钥 之 间 建 立 的 (证 书 用 途 为 0 )， 由 











SubjectPublickeyInfo 字 段 〈 选 择 需 为 1 ) 通过 其 十 六 进 制 编码 的 SHA256 散 列 〈 匹配 类 型 为 1 ) 进 
行 标识 : 

















_443. tcp.www.example.com. IN TLSA ( 
0 1 1 d2abde240d7cd3ee6b4b28c54df034b9 
7983a1id16e8a410e4561cb106618e971 ) 
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DANE 通 过 为 所 需 的 域名 增加 一 条 或 多 条 TLSA 记 录 来 激活 。 如 果 至 少 有 一 个 关联 存在 ， 用 
户 代理 必须 建立 一 个 匹配 ; 否则 ， 它 们 必须 中 止 TLS 握 手 。 如 果 没 有 关联 ， 则 用 户 代理 可 以 按照 
正常 情况 处 理 TLS 连 接 。 

因为 可 以 为 一 个 域名 配置 多 个 关联 (TLSA 记 录 )， 有 可 能 存在 一 个 或 多 个 备份 关联 。 没 有 任 
何 停机 的 轮转 关联 是 可 能 的 。 与 HPKP 不 同 ，DANE 不 指定 记忆 效应 ， 但 本 身 有 一 个 内 置 的 DNS : 
生存 时 间 (time to live，TTL ) 值 ， 该 值 是 记录 可 被 缓存 的 持续 时 间 。 然 而 ， 由 于 缺乏 明确 的 记 
忆 效 应 是 DANE 的 优势 ; 错误 很 容易 通过 重新 配置 DNS 纠正 。 在 部 署 时 ， 特 别 是 刚 开 始 时 ， 最 好 
用 尽 可 能 短 的 TTL。 

一 个 潜在 的 缺点 是 DANE RFC 并 没有 指定 匹配 的 关联 无 法 找到 时 的 用 户 交互 。 例 如 ，HPKP 
建议 用 户 在 钉 扎 失败 的 情况 下 可 以 手动 中 断 钉 扎 。 这 是 一 把 双 刃 剑 : 在 遇 到 真正 攻击 的 情况 下 固 
执 的 用 户 可 能 会 终止 覆盖 安全 机 制 ; 另 一 方面 ， 使 用 DANE 配 置 错 误 时 没有 退路 。 另 一 个 问题 是 
DANE 不 支持 报告 ， 这 使 得 很 难 找到 关联 的 匹配 失败 是 否 发 生 过 。 

4. 应 用 支持 

在 写 这 篇 文章 的 时 候 ，DANE 还 不 被 主流 的 浏览 器 所 支持 。 增 加 对 它 的 支持 是 困难 的 ， 因 为 
DANE 建 立 在 DNSSEC 之 上 ; 直到 操作 系统 开始 使 用 DNSSEC 之 后 ， 浏 览 器 还 需要 自己 实现 
DNSSEC 解 析 。Chrome 早 在 2011 ( Chrome14 ) 就 尝试 了 DANE ,但 最 终 删除 了 对 它 支 持 ， 理 由 是 



























































































































































缺乏 使 用 。 因为 这 一 点 ,当前 对 DANE 唯 一 感 兴趣 是 发 烧 友 和 那些 想 要 学 习 公 共 TLS 身 份 验证 的 
相关 人 员 。 


尽管 缺乏 支持 ， 但 今天 我 们 仍 可 以 试用 DANE， 这 多 亏 了 DNSSEC TLSA Validator 插 件 ， 它 
适用 于 所 有 主流 浏览 回 。? 如 果 成 功 安 装 插件 ， 你 可 以 测试 VeriSign 运 营 的 一 个 示范 网 站 。? 








10.3.9 证 书 密 钥 可 信保 证 


证 书 密 钥 可 信保 证 (trust assertions for certificate key，TACK ) “是 公 钥 钉 扎 的 建议 ， 其 目的 
是 独立 于 公共 CA 和 DNS 。 想法 是 网 站 经 营 者 建立 自己 的 签名 密 钥 ( 也 称 为 TACK 签 名 密 钥 , TACK 
signing key 或 TSK )， 为 独立 提供 支援 。 一 旦 用 户 代 理 识 别 一 个 特定 网 站 的 TSK， 该 密 钥 可 用 于 撤 
销 旧 服务 器 密 钥 , 颁发 新 密 钥 , 等 等 。 换言之 , TSK 类 似 于 私有 CA。 虽然 建议 每 个 站 点 一 个 TSK， 
但 相关 网 站 可 以 依赖 相同 的 签名 密 钥 。 

TACK 是 全 部 钉 扎 建 议 里 最 雄心 勃勃 的 ， 而 且 也 是 最 复杂 的 。 遵 循 它 的 用 户 代理 在 它 的 
ClientHello 里 提交 一 个 空 的 tack 扩 展 表示 支持 TACK。 作为 回应 , 一 个 遵循 的 服务 器 使 用 相同 的 
扩展 发 送 一 个 或 多 个 钉 扎 , 这 些 钉 扎 是 用 该 网 站 的 TSK 对 服务 需 公 钥 签 名 的 。 钉 扎 出 现在 第 一 次 ， 
























































QD DNSSEC authenticated HTTPS in Chrome, https:/www.imperialviolet.org/2011/06/16/dnssecchrome.html ( Adam 
Langley，2011 年 6 月 16 日 )。 

@ DNSSEC/TLSA Validator add-on for Web Browsers，https:/www.dnssec-validator.cz/( CZ.NIC, 检索 于 2015 年 7 月 )。 

® Verisign Labs DANE Demonstration ，http://dane.verisignlabs.com/( VeriSign， 检 索 于 2015 年 7 月 )。 

(@) Trust Assertions for Certificate Keys, https://tools.ietf.org/html/draft-perrin-tls-tack-02 ( Marlinspike 和 Perrin，2013 年 1 月 )。 
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但 只 有 第 二 次 才 被 激活 。 没 有 固定 的 策略 保存 时 间 。 相 反 , 在 每 次 访问 时 ,用户 代 理 就 会 通过 从 
当前 时 间 戳 减 去 钉 扎 第 一 次 出 现 的 时 间 戳 来 计算 出 新 的 策略 保留 时 间 。 还 存在 一 个 30 天 的 最 大 限 
制 。 

TACK 是 有 趣 的 ， 因 为 它 可 以 与 任何 协议 一 起 使 用 ( 与 仅 用 于 HTTP 的 HPKP 不 同 )。 另 一 方 
面 ， 使 用 单独 的 签名 密 钥 引入 了 更 多 的 复杂 性 。 此 外 ， 它 需要 改变 TLS 协 议 。 在 当前 这 个 时 候 ， 
尚 不 清楚 浏览 器 厂商 是 否 有 支持 它 的 计划 。 











10.3.10 ”证 书 颁发 机 构 授 权 


证 书 颁 发 机 构 授 权 ( certification authority authorization，CAA ) "提出 了 一 种 域名 所 有 者 授权 
CA 为 自己 的 域名 签发 证 书 的 方法 。 其 目的 是 深度 防御 证 书 颁发 在 验证 过 程 中 的 攻击 ; 通过 CAA， 
CA 可 以 肯定 自己 与 真正 的 域名 所 有 者 进行 通信 。 

CAA 依 赖 于 DNS 进 行 策略 分 发 ; 它 建 议 使 用 DNSSEC 但 不 强制 。 它 通过 增加 CAA 资 源 记 录 
( CAA resource record，CAA RR ) 来 扩展 DNS， 用 于 创建 授权 条 目 。 

CAA 支 持 多 个 属性 标记 ( property tag )， 它 们 是 用 于 CA 的 指令 。 例 如 ，issue 标 记 可 用 于 允 
许 CA( 由 其 域名 标识 ) 为 某 个 特定 域名 颁发 证 书 : 





















































certs.example.com CAA 0 issue "ca.example.net" 
同样 的 标签 可 以 用 来 禁止 证 书 颁发 : 
nocerts .example.com CAA 0 issue ";" 


其 他 标记 还 包括 issuewild (涉及 泛 域名 证 书 ) 和 iodef， 后 者 定义 了 一 个 通信 信道 (例如 ， 
电子 邮件 地 址 )， 用 于 CA 向 网 站 所 有 者 报告 无 效 证 书 颁 发 申请 。 

CAA 真 正成 功 需要 由 CA 广泛 采用 。 攻击 者 可 以 随时 针对 不 遵循 规范 的 CA， 并 从 中 获得 假 证 
书 。 当 然 ， 从 遵循 的 CA 角度 来 说 ， 这 并 不 一 定 是 失败 ; 任何 降低 攻击 可 能 性 的 事务 都 被 视 为 正 
面 的 。 但 是 ， 如 果 没 有 足够 的 CA 支持 此 功能 ， 网 站 所 有 者 不 可 能 作出 努力 来 配置 对 他 们 的 属性 
授权 。 

与 DANE 一 样 ,CAA 最 适合 DNSSEC。 若 无 DNSSEC, CA 必须 特别 注意 不 要 将 自己 暴露 给 DNS 
欺骗 攻击 。 









































QD RFC 6944: DNS Certification Authority Authorization (CAA) Resource Record, https://datatracker.ietf.org/doc/rfc6844/ 
(Hallam-Baker，2013 年 1 月 )。 


OpenSSL 























OpenSSL 是 一 个 开源 项 目 ， 包 括 密码 库 和 SSL/TLS 工 具 集 。 从 项 目的 官方 站 点 可 以 看 到 : 


OpenSSL 项 目 是 安全 套 接 字 层 ( secure sockets layer，SSL ) 和 传输 层 安 全 ( transport 
layer security，TLS ) 协议 的 一 个 实现 ， 是 大 家 共同 努力 开发 出 的 代码 可 靠 、 功 能 齐全 、 
商业 级 别 的 开源 工具 集 。 项 目 由 遍布 世界 的 志愿 者 所 组 成 的 社区 进行 管理 , 他 们 通过 互 
联网 进行 沟通 、 计 划 和 开发 OpenSSL 工 具 集 以 及 相关 的 文档 。 

OpenSSL 在 这 一 领域 已 经 成 为 事实 上 的 标准 ， 并 且 拥 有 比较 长 的 历史 。OpenSSL 的 代码 前 身 
是 SSLeay" , 由 Eric A. Young 和 TimJ. Hudson 在 1995 年 开发 出 来 。 因 为 后 来 Eric 和 Tim 停 止 了 SSLeay 
的 更 新 , 转 而 为 澳大利亚 的 RSA 公 司 开发 商业 版 本 的 SSL/TLS 工 具 集 BSAFE SSL-C, 所 以 OpenSSL 
项 目 在 1998 年 的 最 后 几 天 诞生 了 。 

现在 几乎 所 有 的 服务 器 软件 和 很 多 客户 端 软件 都 在 使 用 OpenSSL, 其 中 基于 命令 行 的 工具 是 
进行 密 钥 、 证 书 管理 以 及 测试 最 常用 到 的 软件 了 。 有 意思 的 是 , 之 前 很 多 使 用 其 他 库 作 为 SSL/TLS 
解析 的 浏览 器 正 发 生 一 些 变 化 ， 例 如 Google 正 在 将 Chrome 迁 移 到 他 们 自己 的 OpenSSL 分 支 
BoringSSL。?” 

OpenSSL 是 基于 OpenSSL 和 SSLeay 双 许可 证 下 的 授权 模式 ， 两 种 许可 都 类 似 于 BSD ， 同 时 有 
一 个 建议 的 条 款 。OpenSSL 的 许可 在 很 长 一 段 时 间 里 都 是 争论 的 焦点 ,因为 其 中 任何 一 个 许可 都 
与 GPL 家 族 不 兼容 。 因 此 ， 你 会 发 现 那些 基于 GPL 许可 的 程序 比较 偏向 于 使 用 GnuTLS。 


11.1 入 门 


如 果 你 使 用 的 操作 系统 是 基于 Unix 的 , 那么 几乎 可 以 肯定 上 面 已 经 安装 了 OpenSSL, 我 们 的 
入 门 步 又 也 会 变 得 非常 简单 。 唯 一 可 能 的 问题 是 版 本 不 是 最 新 的 。 在 本 节 中 ,我 假设 你 已 经 在 使 
用 Unix 平 台 ， 因 为 OpenSSL 天 生 就 基于 Unix 平 台 。 
Windows 的 用 户 就 稍微 麻烦 了 ， 最 简单 的 情况 是 你 仅仅 需要 使 用 OpenSSL 的 命令 行 工 具 ， 可 


































































































名称 SSLeay 中 的 eay 是 Eric A. Young 的 首 字母 缩写 。 
© BoringSSL, https:/www.chromium.org/Home/chromium-security/boringssl ( Chromium ， 检 索 于 2015 年 6 月 30 日 )。 
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以 在 OpenSSEL 的 网 站 上 找到 Shining Light Production 的 链接 "， 它 拥有 已 经 编译 好 的 Windows 版 本 
的 OpenSSL。 如 果 你 想 要 OpenSSL 的 所 有 功能 ， 需 要 确保 那些 编译 好 的 OpenSSL 都 是 基于 同一 个 
版 本 编译 出 来 的 , 否则 可 能 会 遇 到 难以 解决 的 崩 演 问题 。 最 好 的 办 法 是 使 用 一 个 包含 你 需要 的 所 
有 程序 的 软件 包 。 例 如 ， 如 果 你 想 要 在 Windows 上 运行 Apache， 那 么 可 以 直接 从 Apache Lounge 
获取 对 应 的 二 进 制 文件 。” 






































11.1.1 确定 OpenSSL 版 本 和 配置 


在 开始 之 前 ， 你 要 首先 确定 当前 使 用 的 OpenSSL 版 本 。 下 面 是 我 在 Ubuntu 12.04 LTS 上 面 运 
行 openssl vesion 获 得 的 版 本 信息 ， 后 面 所 有 的 演示 都 是 基于 这 个 环境 : 


$ openssl version 
OpenSSL 1.0.1 14 Mar 2012 


在 写 这 本 书 的 时 候 ，OpenSSL 0.9.x 正 在 向 OpenSSL 1.0.x 发 展 。1.0.1 最 大 的 意义 在 于 它 是 第 
一 个 同时 支持 TLS 1.1 和 1.2 的 版 本 。 总 体 来 说 ， 支 持 新 协议 是 大 趋势 ， 所 以 我 们 还 要 经 历 一 段 新 
老 协 议 不 互通 的 过 程 。 


注意 

不 同 的 操作 系统 经 常会 修改 OpenSSL 的 代码 ， 主 要 是 修复 一 些 已 知 漏洞 。 然 而 项 目的 
名 称 和 版 本 号 经 常 保 持原 样 , 也 没有 任何 迹象 表明 代码 其 实 是 原 项 目的 一 个 分 支 ， 一 
些 行 为 已 经 变化 了 。 例 如 现在 使 用 的 Ubuntu 12.04 LTS 的 OpenSSL 是 基于 1.0.1c 版 本 ， 
全 名 是 openss1 1.0.1-4ubuntu5.16， 包 含 了 很 多 已 知 问题 的 补丁 。 


可 以 使 用 -a 开关 获取 完整 的 版 本 信息 : 


$ openssl] version -a 

OpenSSL 1.0.1 14 Mar 2012 
built on: Fri Jun 20 18:54:15 UTC 2014 
platform: debian-amd64 
0 
€ 





























ptions: bn(64,64) rc4(8x,int) des(idx,cisc,16,int) blowfish(idx) 

ompiler: cc -fPIC -DOPENSSL PIC -DZLIB -DOPENSSL THREADS -D REENTRANT -DDSO DLFCN®O 
DHAVE DLFCN H -m64 -DL ENDIAN -DTERMIO -g -02 -fstack-protectore 
--param=ssp-buffer-size=4 -Wformat -Wformat-security -Werror=format-security -De 
FORTIFY SOURCE=2 -Wl,-Bsymbolic-functions -Wl1,-z,relro -Wa,--noexecstack -Walleo 
-DOPENSSL NO TLS1 2 CLIENT -DOPENSSL MAX TLS1 2 CIPHER LENGTH=50 -DMD32 REG T=inte 
-DOPENSSL IA32 SSE2 -DOPENSSL BN ASM MONT -DOPENSSL BN ASM MONT5 -DOPENSSL BN ASMe 
_GF2m -DSHA1 ASM -DSHA256 ASM -DSHA512 ASM -DMD5 ASM -DAES ASM -DVPAES ASM -DBSAES©O 
_ASM -DWHIRLPOOL ASM -DGHASH ASM 

OPENSSLDIR: "/usr/lib/ssl" 


























QD Win32 OpenSSL, http://slproweb.com/products/Win32OpenSSL.html ( Shining Light Productions， 检 索 于 2014 年 7 月 3 日 )。 

© Apache 2.4 VC14 Binaries and Modules ,http:/www.apachelounge.com/download/( Apache Lounge， 检 索 于 2015 年 7 
髓 15H )。 

人 @) Precise 版 本 的 OpenSSL 源 代码 包 ，https://launchpad.net/ubuntu/precise/+source/openssl ( Ubuntu， 检 索 于 2014 年 7 月 3 日 )。 




















274 第 11 章 OpenSSL 








上 面 最 后 一 行 的 输出 ( /usr/1ib/ssl ) 是 OpenSSL 默 认 情 况 下 查找 配置 和 证 书 的 目录 。 在 我 
的 系统 里 ， 该 位 置 是 /etc/ss1 的 别名 ( 也 就 是 软 链接 )，Ubuntu 会 在 其 中 保存 与 TLS 相 关 的 文件 : 

lrwxrwxrwx 1 root root 14 Apr 19 09:28 certs -> /etc/ssl/certs 

drwxr-xr-x 2 root root 4096 May 28 06:04 misc 


lrwxrwxrwx 1 root root 20 May 22 17:07 openssl.cnf -> /etc/ssl/openssl.cnf 
lrwxrwxrwx 1 root root 16 Apr 19 09:28 private -> /etc/ssl/private 


misc/ 目 录 包 含 一 些 补 充 脚 本 ， 其 中 最 有 用 的 脚本 允许 你 实现 一 个 私有 的 证 书 颁发 机 构 。 











11.1.2 ”构建 OpenSSL 


大 多 数 情 况 下 使 用 操作 系统 默认 提供 的 OpenSSL 就 够 了 , 但 最 好 还 是 升级 到 最 新 版 本 。 例如 
你 当前 的 系统 还 在 使 用 OpenSSL 0.9.x, 而 你 想 使 用 更 新 的 TLS 协 议 ( 在 OpenSSL 1.0.1 以 上 版 本 中 
才 有 )。 当 然 ， 新 版 本 的 OpenSSL 可 能 无 法 提供 你 想 要 的 所 有 功能 ， 例 如 在 Ubuntu 12.04 LTS 上 的 
openssl s_client 命 令 就 不 支持 SSL 2。 虽 然 默认 不 支持 SSL 2 是 对 的 ， 但 是 如 果 需 要 测试 别 的 服 
务 器 是 否 支 持 SSL 2， 我 们 就 需要 这 类 功能 。 

你 可 以 先 下 载 最 新 版 本 的 OpenSSL (我 使 用 的 是 1.0.1h ): 

$ wget http://www.openssl.org/source/openssl-1.0.1h.tar.gz 

在 编译 之 前 我 们 还 需要 进行 配置 。 一 般 情况 下 , 我 们 配置 的 安装 目录 不 要 与 系统 默认 提供 的 
OpenSSL 目 录 一 样 ， 例 如 : 


$ ./config \ 
--prefix=/opt/openssl \ 
--openssldir=/opt/openssl \ 
enable-ec nistp 64 gcc 128 


enable-ec_nistp_64_gcc_128 参 数 可 以 让 我 们 使 用 优化 后 的 一 些 常 用 的 椭圆 曲线 算法 ， 这 个 
优化 基于 编译 器 的 一 些 特性 ， 默 认 情 况 下 会 关闭 这 些 特性 ， 而 且 无 法 自动 检测 。 

然后 执行 下 面 这 些 命令 : 

$ make depend 


$ make 
$ sudo make install 


然后 在 /opt/openssl 目 录 下 面 ， 我 们 可 以 看 到 : 





























































































































drwxr-xr-x 2 root root 4096 Jun 3 08:49 bin 

drwxr-xr-x 2 root root 4096 Jun 3 08:49 certs 

drwxr-xr-x 3 root root 4096 Jun 3 08:49 include 

drwxr-xr-x 4 root root 4096 Jun 3 08:49 lib 

drwxr-xr-x 6 root root 4096 Jun 3 08:48 man 

drwxr-xr-x 2 root root 4096 Jun 3 08:49 misc 

-IW-I--I-- 1 root root 10835 Jun 3 08:49 openssl.cnf 

drwxr-xr-x 2 root root 4096 Jun 3 08:49 private 

private/ 目 录 默 认 是 空 的 ， 因 为 我 们 还 没有 生成 任何 私 钥 ，certs 目 录 也 是 如 此 。OpenSSL 不 包 
括 任何 根 证 书 ， 因 为 维护 一 个 可 信 证 书库 不 在 OpenSSL 项 目的 范围 之 内 。 幸 运 的 是 ,很 多 操作 系 
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统 可 能 已 经 安装 了 可 信 证 书库 ， 当 然 你 也 可 以 自己 创建 一 个 ，11.1.4 节 会 具体 介绍 。 


注意 

编译 软件 之 前 ,熟悉 编译 器 的 默认 配置 是 很 重要 的 。 系 统 提 供 的 软件 一 般 部 会 尽 可 能 
地 使 用 到 编译 器 的 优化 选项 , 但 是 如 果 你 自己 编译 的 话 , 就 不 一 定 能 保证 这 些 优 化 选 
项 都 能 用 到 。” 


11.1.3 ”查看 可 用 命令 




















OpenSSL 包 含 了 很 多 密码 相关 的 工具 。 我 计算 了 一 下 , 我 的 版 本 大 概 有 46 个 ,简直 可 以 称 为 
密码 学 领域 的 瑞士 军刀 。 即 便 现 在 你 只 会 用 到 其 中 的 一 部 分 工具 , 但 是 还 是 有 必要 熟悉 所 有 的 工 


具 





这 样 在 将 来 需要 的 时 候 才 能 知道 你 有 哪些 工具 可 以 使 用 。 
OpenSSL 没 有 专门 的 help 关 键 字 , 任何 时 候 输 入 OpenSSL 无 法 识别 的 命令 , 就 会 显示 帮助 文本 : 


$ openssl help 
openssl:Error: 'help' is an invalid command. 


NI 





Standard commands 


asn1parse Ca ciphers cms 

crl crl2pkcs7 dgst dh 
dhparam dsa dsaparam ec 
ecparam enc engine errstr 
gendh gendsa genpkey genrsa 
nseq ocsp passwd pkcs12 
pkcs7 pkcs8 pkey pkeyparam 
pkeyutl prime rand req 

rsa rsautl s client Ss_server 
s time sess id smime speed 
spkac srp ts verify 
version X509 








第 一 部 分 帮助 列 出 了 所 有 可 以 使 用 的 工具 。 如 果 对 于 某 个 命令 , 想 获取 更 加 详细 的 信息 ,可 
以 使 用 man 加 上 工具 的 名 称 。 例 如 man ciphers 会 告诉 我 们 密码 套件 是 如 何 配置 的 。 

帮助 信息 不 止 上 面 这 些 , 但 是 剩 下 的 就 没 这 么 有 意思 了 , 在 第 二 部 分 的 帮助 信息 里 我 们 可 以 
看 到 可 用 的 消息 摘要 命令 : 

Message Digest commands (see the ‘dgst' command for more details) 


md4 md5 rmd160 sha 
shal 


然后 在 第 三 部 分 的 帮助 信息 中 ， 我 们 可 以 看 到 所 有 的 加 密 命令 : 


Cipher commands (see the ‘enc' command for more details) 
aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb 
aes-256-cbc aes-256-ecb base64 bf 





























QD compiler hardening in Ubuntu and Debian, https://outflux.net/blog/archives/2014/02/03/compiler-hardening-in-ubuntu- 
and-debian/ (Kees Cook，2014 年 2 月 3 日 )。 
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bf-cbc bf-cfb bf-ecb bf-ofb 
camellia-128-cbc camellia-128-ecb camellia-192-cbc camellia-192-ecb 
camellia-256-cbc camellia-256-ecb cast cast-cbc 
cast5-cbc cast5-cfb cast5-ecb cast5-ofb 
des des-cbc des-cfb des-ecb 
des-ede des-ede-cbc des-ede-cfb des-ede-ofb 
des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb 
des-ofb des3 desx rc2 
TC2-40-cbc rc2-64-cbc rc2-cbc rc2-cfb 
rc2-ecb rc2-ofb rc4 ITC4-40 

seed seed-cbc seed-cfb seed-ecb 
seed-ofb zlib 


11.1.4 创建 可 信 证 书库 


OpenSSL 没 有 自 带 可 信和 根 证 书 (也 叫 作 可 信 证 书库 )， 所 以 如 果 你 是 自己 从 头 开始 安装 的 话 ， 
那么 就 需要 从 别 的 地 方 找 找 了 。 一 种 选择 是 使 用 操作 系统 自 带 的 可 信 证 书库 ,一 般 来 说 没有 问题 ， 
但 是 这 个 可 信 证 书库 可 能 不 是 最 新 的 。 更 好 的 一 种 选择 是 从 Mozilla 那 里 获取 , 虽然 麻烦 一 点 , 但 
是 Mozilla 花 费 了 很 多 时 间 维 护 一 个 可 靠 的 可 信 证 书库 , 例如 我 为 自己 在 SSL Labs 写 的 评估 工具 使 
用 的 就 是 这 个 可 信 证 书库 。 

因为 是 开源 的 ， 所 以 Mozila 将 可 信 证 书库 保存 在 源 代码 存储 库 中 : 

https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/lib/ckfw/builtins/certdata.txt 

但 是 Mozilla 将 这 些 证 书 以 一 种 比较 特殊 的 格式 存放 ,其 他 人 很 少 使 用 。 所 以 如 果 不 介意 的 话 ， 
我 们 可 以 从 第 三 方 〈 例 如 Curl 项 目 ) 去 获取 最 新 的 PEM ( privacy-enhanced mail ) 格式 的 可 信 证 书 
库 ， 这 种 格式 可 以 直接 使 用 : 
http://curl.haxx.se/docs/caextract.html 
当然 , 如 果 你 更 愿意 直接 从 Mozilla 下 载 可 信 证 书库 , 也 有 现成 的 用 Perl 或 者 Go 语言 编写 的 肢 
这 样 你 就 无 需 自己 编写 了 。 在 后 面 儿 节 我 会 介绍 这 两 个 工具 。 


注意 
如 果 你 最 终 决定 自己 编写 解析 Mozilla 可 信 证 书库 脚本 的 话 ,需要 注意 根 证 书 文件 中 实 
际 包含 了 两 种 类 型 的 证 书 : 一 部 分 是 可 信 的 ， 另 外 一 部 分 是 明确 不 可 信 的 。Mozilla 
使 用 这 种 方式 去 禁用 那些 被 盗用 的 中 间 证 书 (例如 DigiNotar 的 那些 老 证 书 )， 上 面 提 
到 的 Perl 和 Go 脚本 会 识别 出 不 可 信 证 书 。 

1. 使 用 Perl 脚 本 

Curl 项 目 提 供 了 由 Guenter Knauf 使 用 Perl 编 写 的 Mozilla 可 信 证 书库 转换 脚本 : 


https://raw.github.com/bagder/curl/master/lib/mk-ca-bundle.pl 
下 载 这 个 脚本 之 后 直接 运行 就 会 从 Mozilla 下 载 最 新 的 证 书 数据 并 且 转 换 为 PEM 格 式 : 


$ ./mk-ca-bundle.pl 
Downloading 'certdata.txt' ... 
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Processing 'certdata.txt' ... 
Done (156 CA certs processed, 19 untrusted skipped). 


如 果 还 有 之 前 下 载 过 的 证 书 数据 , 这 个 脚本 会 将 两 份 证 书 数据 进行 对 比 , 然后 只 处 理 更 新 的 
部 分 。 

2. 使 用 Go 脚本 

如 果 你 更 喜欢 使 用 Go 语言 ， 那 么 可 以 从 GitHub 下 载 Adam Langley 编 写 的 工具 : 

https://github.com/agl/extract-nss-root-certs 

开始 转换 之 前 先 下 载 这 个 小 工具 : 

$ wget https://raw.github.com/agl/extract-nss-root-certs/master/convert mozilla certdata.go 

然后 下 载 Mozilla 的 证 书 数据 : 


$ wget https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/1lib/ckfw/builtins/certdata. © 
txt --output-document certdata.txt 


最 后 使 用 下 面 的 命令 转换 文件 : 


$ go run convert mozilla certdata.go > ca-certificates 
2012/06/04 09:52:29 Failed to parse certificate starting on line 23068: negative serial number 


在 我 的 例子 里 面 有 一 个 无 效 的 证 书 是 Go X.509 无 法 处 理 的 ， 其 他 的 都 正常 处 理 了 。 
11.2 ” 密 钥 和 证 书 管理 


大 多 数 用 户 借助 OpenSSL 是 因为 希望 配置 并 运行 能 够 支持 SSL 的 Web 服 务 器 。 整 个 过 程 包括 3 
个 步骤 : (1) 生成 强加 密 的 私 钥 ; (2) 创建 证 书签 名 申请 ( certificate signing request，CSR ) 并 且 发 
送 给 CA; (3) 在 你 的 web 服务 器 上 安装 CA 提供 的 证 书 。 这 些 步 又 (还 有 其 他 一 些 ) 会 在 本 节 详 细 
说 明 。 




































































11.2.1 生成 密 钥 


在 使 用 公 钥 加 密 之 前 的 第 一 步 是 生成 一 个 私 钥 。 在 开始 之 前 ， 你 必须 进行 几 个 选择 。 

口 密 钥 算法 
OpenSSL 支 持 RSA、DSA 和 ECDSA 密 钥 , 但 是 在 实际 使 用 场景 中 不 是 所 有 密 钥 类 型 都 适 
用 的 。 例 如 对 于 Web 服 务 器 的 密 钥 ， 所 有 人 都 使 用 RSA ， 因 为 DSA 一 般 因 为 效率 问题 会 
限制 在 1024 位 〈 Internet Explorer 不 支持 更 长 的 DSA 密 钥 )， 而 ECDSA 还 没有 被 大 部 分 的 
CA 支持 。 对 于 SSH 来 说 , 一 般 都 是 使 用 DSA 和 RSA, 而 不 是 所 有 的 客户 端 都 支持 ECDSA 

口 密 钥 长 度 

默认 的 密 钥 长 度 一 般 都 不 够 安全 ， 所 以 我 们 需要 指定 要 配置 的 密 钥 长 度 。 例 如 RSA 密 钥 

默认 的 长 度 是 512 位 ， 非 常 不 安全 。 如 果 今 天 你 的 服务 器 上 还 是 用 512 位 的 密 钥 ， 入 侵 考 
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可 以 先 获取 你 的 证 书 ， 使 用 暴力 方式 来 算出 对 应 的 私 钥 ， 之 后 就 可 以 冒充 你 的 站 点 了 。 
现在 ， 一般 认 为 2048 位 的 RSA 密 钥 是 安全 的 ， 所 以 你 应 该 采用 这 个 长 度 的 密 钥 。DSA 密 
钥 也 应 该 不 少 于 2048 位 ，ECDSA 密 钥 则 应 该 是 256 位 以 上 。 

口 密码 
强烈 建议 使 用 密码 去 保存 密 钥 ， 虽然 这 是 只 一 个 可 选项 。 受 密码 保护 的 密 钥 可 以 被 安全 
地 存储 、 传 输 以 及 备份 。 但 与 此 同时 ,这样 的 密 钥 也 会 带 来 不 便 ， 因 为 我 们 如 果 没 有 密 
码 的 话 ， 例如 每 次 你 想 要 重启 Web 服 务 器 的 时 候 就 会 被 要 求 输入 密码 。 
大 多 数 情况 下 ， 这 会 导致 极 大 的 不 便 ， 在 现实 中 几乎 无 法 使 用 。 如 果真 的 发 生 入 侵 ， 在 
0 因为 一 旦 使 用 密码 解密 后 ， 
私 钥 会 被 明文 保存 在 程序 内 存 中 ， 攻 击 者 如 果 能 登录 服务 器 ， 那么 只 需要 花费 一 点 时 间 
就 可 以 很 容 地 获取 到 密 钥 。 所 以 使 用 密码 方式 保护 私 钥 只 有 在 私 钥 并 没有 被 放 在 生产 环 
境 服务 器 上 的 时 候 才 有 用 。 也 就 是 说 在 生产 环境 上 存放 私 钥 和 密码 都 是 可 以 的 。 如 果 你 
想 要 让 生产 环境 的 私 钥 更 加 安全 ， 那 么 需要 考虑 一 下 人 硬件 解决 方案 。™ 

可 以 使 用 genrsa 命 令 来 生成 RSA 密 钥 : 


$ openssl genrsa -aes128 -out fd.key 2048 
Generating RSA private key, 2048 bit long modulus 
二 















































e is 65537 (0x10001) 
Enter pass phrase for 十 d .Key : 洲 水 水 炒米 六 炒米 玉米 米 玉 炒米 玉米 
Verifying - Enter pass phrase for fd.key : ******* 六 H* 六 * 六 * 六 H* 


这 里 ， 我 指定 私 钥 会 使 用 AES-128 算 法 来 加 密 保 存 。 当 然 也 可 以 使 用 AES-192 或 者 AES-256 
(分 别 使 用 开关 -aes192 和 -aes256 )， 但 是 最 好 不 要 使 用 其 他 算法 (DES、3DES 和 SEED )。 

警告 

上 面 输出 结果 中 的 e 值 表示 公用 指数 ， 默 认 情 况 下 会 被 设置 为 65 537。 这 是 所 谓 的 短 
公用 指数 ( short public exponent )， 它 可 以 显著 提高 RSA 的 验证 性 能 。 如 果 希 望 验证 过 

程 更 快 ， 请 使 用 -3 开关 ， 选 择 3 作为 公用 指数 。 但 是 历史 上 使 用 3 作为 公用 指数 有 很 多 
弱点 ， 这 就 是 所 有 人 都 建议 你 继续 使 用 65 537 的 原因 ， 后 者 被 证 明 是 安全 和 效率 的 一 

个 平衡 点 。 


私 钥 以 所 谓 的 PEM 格 式 存储 ， 该 格式 仅 包含 文本 : 


$ cat fd.key 
----- BEGIN RSA PRIVATE KEY----- 
Proc-Type: 4,ENCRYPTED 






































@ 一 小 部 分 组 织 会 有 非常 严格 的 安全 需求 ， 要 求 不 惜 任何 代价 保证 私 钥 安 全 。 对 他 们 来 说 解决 方案 是 使 用 硬件 安全 
模块 ( hardware security module，HSM )， 这 类 产品 的 设计 使 得 即便 能 够 物理 访问 它 ， 也 无 法 导出 密 钥 。 为 实现 此 
事 ，HSM 不 仅仅 生成 和 存储 密 钥 ， 还 会 执行 所 有 必须 的 操作 ( 例如， 生成 签名 )。HSM 非 常 昂 贵 。 
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DEK-Info: AES-128-CBC,O01EC21976A463CE36E9DB59FF6AF689A 


VERmFJzsLeAEDqWdXX4rNwogJp+y95uTnw+bOjWRw1+01qgGqxQXPtH3LWDUz1Ym 
mkpxmIwlSidVSUuUrrUzIL+V21EJ1W9iQ71SJopPOyzX7dYX5GCAwQm9Tsb40FhV/ 
[21 lines removed...] 

4phGTprEnEwrffRnYrt7khQwrJhNsw6TTtthMhx/UCJdpQdaLW/TuylaJMWL1JRW 
i321s5meSej6Pr4fGccNOe71ZK+563d7v5znAx+Wo1C+F7YgF+g8LOQ8emC+6AVV 
----- END RSA PRIVATE KEY----- 























乍 一 看 私 钥 是 一 堆 随 机 数据 ， 其 实 不 是 。 你 可 以 使 用 下 面 的 rsa 命 令 解 析出 私 钥 的 结构 : 


$ openssl rsa -text -in fd.key 

Enter pass phrase for fd.key : **** 六 ** 六 * 闵 六 站 六 站 六 
Private-Key: (2048 bit) 

modulus: 
00:9e:57:1c:c1:0f:45:47:22:58:1c:cf:2c:14:db: 


publicExponent: 65537 (0x10001) 
privateExponent: 
1a:12:ee:41:3c:6a:84:14:3b:be:42:bf:57:8f:dc: 


prime1: 
00:c9:7e:82:e4:74:69:20:ab:80:15:99:7d:5e:49: 


prime2: 
00:c9:2c:30:95:3e:cc:a4:07:88:33:32:a5:b1:d7: 
exponent1: 
68:f4:5e:07:d3:df:42:a6:32:84:8d:bb:f0:d6:36: 
exponent2: 
5e:b8:00:b3:f4:9a:93:cc:bc:13:27:10:9e:f8:7e: 
coefficient : 

34:28:cf:72:e5:3f:52:b2:dd:44:56:84:ac:19:00: 


writing RSA key 
----- BEGIN RSA PRIVATE KEY----- 








如 果 你 需要 单独 查看 密 钥 的 公开 部 分 ， 可 以 使 用 下 面 的 rsa 命 令 : 


$ openssl rsa -in fd.key -pubout -out fd-public.key 
Enter pass phrase for. fd';KeyS *** 米 六 六 六 六 来 米 六 水 闵 冰冰 


如 果 你 查看 这 个 刚 生 成 的 文件 ， 就 会 发 现 有 明显 的 标识 ， 表 示 这 部 分 确实 


$ cat fd-public.key 

----- BEGIN PUBLIC KEY----- 
MITBIjANBgkqhkiCG9wOBAQEFAAOCAQ8AMITBCgKCAQEAnlccwQ9FRyJYHM8sFNsY 
PUHJHJzhJdwcS7kBptutf/L60voEAzCVHi/mOqAA4QM5BziZgnvv+FNnE3sgE5pz 
iovEHJ3C959mNQOmpvnedXwfcOIlbrNqdISJiPOjs6mDCzYjSO1NCQoy3UpYwvwj7 
OryR1iF+abARehlts/Xs/PtX3Vamrl1jiJN6JNgFICy3ZvENLZEKxR70o0b7TnyZDrj 
IHxBbqPNzeiqLCFLFPGgJPaOcH8DdovBTesvu7wr/ecsf8CYyUCdEwGkZh9DKtdy 


四 
全 





公开 的 信息 


百 史 \、: 
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HFa9H8tWW2mX6uwYeHCnf2HTwOE8vjtOb8oYQx1QxtL7dpFyMgrpPOoOVKkZZW/PO 


NOIDAOAB 
2 END PUBLIC KEY----- 


一 个 好 习惯 是 验证 一 下 输出 内 容 是 否 像 你 所 期 望 的 那样 。 例 如 , 如 果 你 忘记 在 命令 行 中 包含 


























-pubout 开 关 ， 那 么 输出 结果 就 会 包括 私 钥 信息 而 不 是 只 有 公 钥 。 
DSA 的 密 钥 生成 分 成 两 个 部 分 : 先生 成 DSA 的 参数 ,然后 再 生成 密 钥 。 当 然 我 倾向 于 使 用 一 


个 命令 来 包括 这 两 个 步骤 : 


$ openssl dsaparam -genkey 2048 | openssl dsa 


-out dsa.key -aes128 


Generating DSA parameters, 2048 bit long prime 


This could take some time 

sad 

read DSA key 

writing DSA key 

Enter PEM pass phrase: * 六 六 六 六 六 六 六 六 六 六 六 六 六 六 站 


Verifying - Enter PEM pass phrase: R* 闪 * 冰 六 六 冰冰 冰冰 六 六 六 六 站 


4 





或 者 临时 的 密 钥 。 
创建 ECDSA 密 钥 的 过 程 是 类 似 的， 但 是 不 


























这 种 方式 可 以 让 我 生成 一 个 受 密码 保护 的 密 钥 ， 而 不 会 在 磁盘 上 留 下 临时 文件 (DSA 参数 ) 





能 创建 任意 长 度 的 密 钥 。 对 于 每 个 密 钥 ， 你 需要 





选择 一 个 命名 曲线 (named curve )， 它 可 以 控制 密 钥 长 度 ， 同 时 也 限定 了 椭圆 曲线 的 参数 。 下 面 
的 例子 使 用 secp256r1 这 个 命名 曲线 创建 一 个 256 位 长 度 的 ECDSA 密 钥 : 


$ openssl ecparam -genkey -name secp256r1 | openssl ec -out ec.key -aes128 
using curve name prime256v1 instead of secp256r1 





read EC key 
writing EC key 
Enter PEM pass phrase: * 六 六 六 六 六 六 六 六 六 六 六 六 六 闪闪 


Verifying - Enter PEM pass phrase: ** 六 六 六 六 六 六 六 六 六 六 六 六 冰冰 

OpenSSL 支 持 非常 多 的 命名 曲线 ( 可 以 使 用 -list_curves 开 关 获 取 完 整 的 曲线 列表 ), 但 是 对 
于 Web 服 务 器 使 用 的 密 钥 来 说 , 你 只 能 使 用 两 种 : secp256r1( OpenSSL 使 用 prime256v1 作 为 名 称 ) 
和 secp384r1， 因 为 只 有 这 两 个 是 大 多 数 浏览 器 都 支持 的 。 























注意 
/ 工 忆 





如 果 你 使 用 OpenSSL 1.0.2, 在 生成 密 钥 的 时 候 可 以 使 用 genpkey 命 令 节省 大 量 的 时 间 ， 


因为 它 支持 各 种 密 钥 类 型 以 及 配置 参数 。 


11.2.2 ”创建 证 书签 名 申请 


一 旦 有 了 私 钥 ， 就 可 以 创建 证 书签 名 申请 
给 证 书签 名 的 一 种 正式 申请 , 该 申请 包含 申请 训 





现在 它 是 统一 的 密 钥 生成 接口 。 


( certificate signing request，CSR )。 这 是 要 求 CA 
E 书 的 实体 的 公 钥 以 及 该 实体 的 某 些 信息 。 该 数据 





将 成 为 证 书 的 一 部 分 。CSR 始 终 使 用 它 携带 的 公 钥 所 对 应 的 私 钥 进 行 签名 。 
CSR 创 建 的 过 程 一 般 都 是 交互 式 的 , 你 需要 提供 区 分 证 书 所 需 的 不 同 元 素 。 认真 阅读 openss1 
工具 的 帮助 。 如 果 你 想 让 某 一 个 字段 为 空 ,不 要 直接 回 车 , 必须 输入 一 个 点 (. ); 如 果 直 接 回 车 ， 
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OpenSSL 会 直接 使 用 这 个 字段 默认 的 值 (虽然 几乎 所 有 人 都 这 么 做 ,但 是 如 果 使 用 的 是 默认 的 
OpenSSL 配 置 ， 直 接 回 车 没有 任何 意义 。 只 有 在 你 意识 到 可 以 通过 直接 修改 OpenSSL 配 置 或 者 提 
供 自己 的 配置 文件 来 修改 默认 配置 的 时 候 ， 直 接 回 车 才 是 没 问题 的 )。 


$ openss] req -new -key fd.key -out fd.csr 
Enter*pass" phirase: for fd Keys  * 人 4 站 玉 六 水 下 下 六 六 六 闵 半 六 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [AU]:GB 
State or Province Name (full name) [Some-State]:. 
Locality Name (eg, city) []:London 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Feisty Duck Ltd 
Organizational Unit Name (eg, section) []: 

Common Name (e.g. server FODN or YOUR name) []:www.feistyduck.com 

Email Address []:webmaster@feistyduck.com 
























































Please enter the following ‘extra' attributes 
to be sent with your certificate request 

A challenge password []: 

An optional company name []: 


注意 

根据 RFC 2985 的 5.4.1 节 ”， 质 询 密 码 ( challenge password ) 是 一 个 可 选 字段 ， 用 于 在 

证 书 吊 销 过 程 中 确认 申请 过 该 证 书 的 最 初 实体 的 身份 。 如 果 输 入 这 个 字段 ， 则 会 将 密 

码 包括 在 CSR 文 件 中 并 发 送 给 CA。 几 乎 没有 CA 会 依赖 这 个 字段 ， 我 所 看 到 的 帮助 信 

息 都 建议 将 这 一 字段 留 空 ， 因 为 设置 一 个 质询 密码 并 没有 增加 CSR 的 任何 安全 性 。 另 EE 
外 不 要 将 这 个 字段 和 密 钥 密 码 混淆 了 ， 它 们 的 作用 是 不 一 样 的 。 


CSR 生 成 之 后 ， 可 以 使 用 它 去 直接 进行 证 书签 名 或 者 将 它 发 送 给 公共 CA 让 他 们 对 证 书 进行 
签名 。 下 面 会 具体 讲 这 两 种 方式 , 但 是 在 操作 之 前 , 最 好 再 检查 一 遍 CSR 是 正确 的 。 可 以 这 么 做 : 


$ openssl req -text -in fd.csr -noout 
Certificate Request: 
Data: 
Version: 0 (0x0) 
Subject: C=GB, L=London, 0=Feisty Duck Ltd, CN=www.feistyduck.com/emailAddress=webmaster@ < 
feistyduck.com 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
Public-Key: (2048 bit) 
Modulus: 















































QD RFC 2985: PKCS #9: Selected Object Classes and Attribute Types Version 2.0, http://tools.ietf.org/html/rfc2985 (M. 
Nystrom 和 B. Kaliski，2000 年 11 月 )。 
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00:b7:fc:ca:1ic:a6:c8:56:bb:a3:26:d1:df:e4:e3: 
[16 more lines...] 
d1:57 
Exponent: 65537 (0x10001) 
Attributes: 
a0:00 
Signature Algorithm: sha1lWithRSAEncryption 
a7:43:56:b2:cf:ed:c7:24:3e:36:0f:6b:88:e9:49:03:a6:91: 
[13 more lines...] 
47:8b:e3:28 


11.2.3 ”用 当前 证 书生 成 CSR 文件 


如 果 你 想 更 新 一 张 证 书 并 且 不 想 对 里 面 的 信息 作 任 何 更 改 , 那么 实现 可 以 变 得 简单 一 些 。 使 
用 下 面 的 命令 可 以 用 当前 的 证 书 创建 一 个 全 新 的 CSR 文 件 : 
$ openssl x509 -x509toreq -in fd.crt -out fd.csr -signkey fd.key 
注意 
除非 是 你 在 使 用 某 种 公 钥 钉 扎 的 形式 并 且 硕 望 继续 使 用 之 前 的 密 钥 ,否则 建议 每 次 申 
请 新 证 书 的 时 候 都 生成 一 个 全 新 的 密 钥 。 密 钥 生 成 起 来 很 快 而 且 成 本 低廉 ， 但 是 可 以 
减少 泄露 的 风险 。 





11.2.4 非 交互 方式 生成 CSR 


生成 CSR 并 不 一 定 要 使 用 交互 方式 。 使 用 自 定义 的 OpenSSL 配 置 文 件 ， 可 以 将 这 个 过 程 自动 
化 (本 节 中 介绍 的 )， 并且 还 可 做 一 些 交 互 方式 无 法 完成 的 事情 (后续 儿 节 会 介绍 )。 
例如 我 们 想 自动 生成 www. feistyduck.com 的 CSR 文 件 ， 可 以 先 创建 一 个 fd.cnf 文 件 : 


[req] 

prompt = no 
distinguished name = dn 

req extensions = ext 

input_ password = PASSPHRASE 











dn] 
CN = www.feistyduck.com 
emailAddress = webmaster@feistyduck.com 





0 = Feisty Duck Ltd 
= London 

C= GB 

ext] 


subjectAltName = DNS:www.feistyduck.com,DNS:feistyduck.com 
然后 使 用 下 面 的 命令 直接 创建 CSR 文 件 : 


$ openssl req -new -config fd.cnf -key fd.key -out fd.csr 
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11.2.5 ” 自 签名 证 书 


如 果 你 只 是 想 安 装 一 台 自 己 使 用 的 TLS 服 务 器 ， 那 么 可 以 不 必 找 CA 去 获取 一 个 公开 信任 的 
证 书 ， 自 己 就 可 以 直接 签发 一 个 。 最 简单 的 方式 就 是 生成 自 签名 证 书 。 如 果 你 使 用 Firefox， 那 
么 可 以 在 第 一 次 访问 网 站 的 时 候 创建 一 个 证 书 例外 ， 然 后 就 可 以 像 使 用 公开 可 信 证 书 一 样 正常 
访问 了 。 

如 果 已 经 有 了 CSR， 可 以 使 用 下 面 的 文件 创建 证 书 : 


$ openssl x509 -req -days 365 -in fd.csr -signkey fd.key -out fd.crt 

Signature ok 

subject=/CN=www. feistyduck.com/emailAddress=webmaster@feistyduck.com/0=Feisty Ducke 
Ltd/L=London/C=GB 

Getting Private key 

Enter pass phrase for fd.kKkey: ******* 六 六 六 六 六 六 六 六 * 


也 可 以 无 需 单独 创建 一 个 CSR， 使 用 下 面 的 命令 直接 使 用 私 钥 创 建 自 签名 证 书 : 
$ openssl req -new -x509 -days 365 -key fd.key -out fd.crt 
如 果 你 不 想 有 交互 提示 ， 直 接 使 用 -subj 并 带 上 标题 信息 就 可 以 了 : 


$ openssl req -new -x509 -days 365 -key fd.key -out fd.crt \ 
-Subj "/C=GB/L=London/0=Feisty Duck Ltd/CN=www.feistyduck.com" 





























11.2.6 ”创建 对 多 个 主机 名 有 效 的 证 书 


默认 情况 下 ，OpenSSL 创 建 的 证 书 只 包含 一 个 公用 名 而 且 只 能 设置 一 个 主机 名 。 因 为 这 个 限 
制 ， 即 便 你 有 其 他 相关 联 的 站 点 ， 也 不 得 不 为 每 个 站 点 生成 一 张 单独 的 证 书 。 在 这 种 情况 下 , 使 
用 一 张 多 域名 (multidomain ) 的 证 书 就 有 意义 了 。 即 便 你 是 维护 一 个 站 点 ,也 得 确保 用 户 在 访问 
站 点 的 所 有 子 域名 的 时 候 证 书 是 有 效 的 ,在 实际 使 用 中 意味 着 使 用 至 少 两 个 名 称 , 一 个 是 使 用 www 
开头 的 ,一 个 是 没有 任何 前 缀 的 ( 例如 www. feistyduck.com 和 feistyduck.com )。 

有 两 种 方式 在 一 张 证 书 里 面 支持 多 主机 名 。 一 种 方式 是 在 X.509 的 使 用 者 可 选 名 称 ( subject 
alternative name ，SAN ) 扩展 字段 里 面 列 出 所 有 要 使 用 的 主机 名 ; 另外 一 种 就 是 使 用 泛 域名 。 可 
以 将 两 种 方式 合 在 一 起 ,这样 更 加 方便 。 在 实际 使 用 的 时 候 , 可 以 设置 顶级 域名 和 一 个 泛 域名 来 
时 括 所 有 二 级 域名 (例如 feistyduck.com 和 和 *.feistyduck.com )。 



















































































型 千 
当 证 书包 括 可 选 名 称 的 时 候 ， 所 有 公用 名 就 会 被 忽略 。CA 新 创建 的 证 书 甚至 可 能 不 
再 包括 任何 公用 名 ， 所 以 ， 请 在 可 选 名 称 列表 中 包含 所 有 想 要 的 主机 名 。 
首先 ， 将 扩展 信息 放 在 一 个 单独 的 文本 文件 中 ， 我 将 该 文件 命名 为 fd.ext。 在 这 个 文件 中 ， 
指定 扩展 的 名 称 ( subjectAltName )， 并 且 像 下 面 这 样 列 出 需要 的 主机 名 : 
subjectAltName = DNS:*.feistyduck.com, DNS:feistyduck.com 


然后 当 使 用 x509 命 令 签 发 证 书 的 时 候 ， 使 用 -extfile 开 关 引 用 该 文件 : 
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$ openssl x509 -req -days 365 \ 
-in fd.csr -signkey fd.key -out fd.crt \ 
-extfile fd.ext 


剩 下 的 步骤 与 之 前 的 一 样 ， 当 然 在 检查 证 书 的 时 候 你 会 发 现 它 包 括 了 SAN 扩 展 信息 : 


X509v3 extensions: 
X509v3 Subject Alternative Name: 
DNS:*.feistyduck.com, DNS:feistyduck.com 


11.2.7 检查 证 书 


一 眼看 到 证 书 内 容 的 时 候 会 觉得 它们 就 是 一 堆 随 机 数据 ， 而 你 只 需要 知道 如 何 解析 它们 ， 
就 会 发 现 其 实 里 面包 含 了 很 多 信息 。x509 命 令 可 以 帮助 你 查看 刚 生 成 的 自 签名 证 书 。 
下 面 的 例子 中 我 使 用 -text 来 打印 证 书 内 容 ， 使 用 -noout 则 不 打印 编码 后 的 证 书 内 容 ， 这 村 
可 以 减少 信息 干扰 ( 默认 情况 下 会 打印 ): 


$ openssl x509 -text -in fd.crt -noout 
Certificate: 
Data: 
Version: 1 (0x0) 
Serial Number: 13073330765974645413 (Oxb56dcd10f11aaaa5) 
Signature Algorithm: shalWithRSAEncryption 
Issuer: CN=www.feistyduck.com/emailAddress=webmaster@feistyduck.com, * 
0=Feisty Duck Ltd, L=London, C=GB 
Validity 
Not Before: Jun 4 17:57:34 2012 GMT 
Not After : Jun 4 17:57:34 2013 GMT 
Subject: CN=www.feistyduck.com/emailAddress=webmaster@feistyduck.com, * 
0=Feisty Duck Ltd, L=London, C=GB 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
Public-Key: (2048 bit) 
odulus: 
00:b7:fc:ca:1ic:a6:c8:56:bb:a3:26:d1:df:e4:e3: 
16 more lines...] 
d1:57 
Exponent: 65537 (0x10001) 
Signature Algorithm: shalWithRSAEncryption 
49:70:70:41:6a:03:0f:88:1a:14:69:24:03:6a:49:10:83:20: 
[13 more lines...] 
74:a1:11:86 


就 像 上 面 的 例子 一 样 ， 自 签名 证 书 一 般 只 包括 最 基本 的 证 书 数据 。 相 比 而 言 ， 公 共 CA 签 发 
的 证 书 则 含有 更 多 有 意义 的 信息 (通过 X.509 扩 展 机 制 )， 让 我 们 快速 了 解 一 下 。 
束 (basic constraint ) 扩展 用 于 标记 证 书 是 否 是 一 个 CA， 这 样 的 证 书 可 以 给 其 他 证 书 
签名 。 es 页 或 者 其 中 CA 的 值 会 被 设置 为 FALSE。 这 是 一 个 关键 扩展 ， 
| 只 别 这 个 字段 。 


X509v3 Basic Constraints: critical 
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CA:FALSE 
密 钥 用 法 (key usage，KU ) 和 扩展 密 钥 用 法 (extended key usage，EKU ) 扩展 限制 了 证 书 
的 使 用 范围 。 如 果 这 两 个 扩展 存在 ， 只 有 列表 里 面 的 使 用 方式 是 允许 的 。 如 果 这 个 扩展 不 存在 ， 
则 没有 任何 限制 。 你 看 到 的 这 个 例子 是 非常 典型 的 Web 服 务 需 证 书 ， 也 就 是 说 它 不 能 进行 代码 
签名 : 


X509v3 Key Usage: critical 
Digital Signature, Key Encipherment 
X509v3 Extended Key Usage: 
TLS Web Server Authentication, TLS Web Client Authentication 


























CRL 分 发 点 ( CRL distribution point ) 扩展 列 出 了 CA 证 书 吊销 列表 (certificate revocation list， 
CRL ) 的 地 址 ， 当 证 书 需要 被 吊销 的 时 候 这 个 信息 非常 重要 。CA 会 对 CRL 进 行 签 名 ， 并 且 每 隔 
一 段 时 间 发 布 一 次 (例如 ，7 天 )。 

X509v3 CRL Distribution Points : 

Full Name : 
URI:http://crl.starfieldtech.com/sfs3-20.crl 
注意 
你 可 能 注意 到 了 CRL 的 地 址 没有 使 用 安全 服务 器 , 你 可 能 会 担心 这 样 的 话 这 个 链接 是 
否 就 不 安全 了 。 事 实 上 不 会 的 ， 因 为 每 个 CRL 都 由 所 签发 的 CA 进行 签名 ， 浏 览 器 可 
以 验证 CRL 的 完整 性 。 事 实 上 如 果 CRL 由 TLS 进 行 分 发 ， 在 验证 CRL 服 务 器 所 提供 的 
证 书 是 否 吊 销 的 时 候 ， 浏 览 器 就 会 面临 先 有 鸡 还 是 先 有 蛋 的 问题 。 


证 书 策略 ( certificate policy ) 扩展 用 来 指出 证 书 使 用 哪 种 策略 签发 , 例如 扩展 验证 ( extended 
validation ，EV ) 标识 就 在 这 里 ( 证书 下 面 这 个 例子 )。 每 个 标识 都 拥有 一 个 唯一 的 对 象 标识 符 
( object identifier，OID )， 对 签发 的 CA 来 说 它们 是 唯一 的 。 另 外 这 个 扩展 一 般 还 包括 一 个 或 者 多 
个 证 书 策略 声明 (certificate policy statement，CPS )， 一 般 都 是 网 页 或 者 PDF 文档 。 


X509v3 Certificate Policies: 
Policy: 2.16.840.1.114414.1.7.23.3 
CPS: http://certificates.starfieldtech.com/repository/ 


颁发 机 构 信 息 访问 (authority information access，AIA ) 扩展 包括 了 两 个 重要 信息 。 首 先 它 列 
出 了 CA 的 在 线 证 书 状态 协议 ( online certificate status protocol，OCSP ) 响应 程序 的 地 址 ， 可 以 用 
来 实时 监测 证 书 的 吊销 情况 。 这 个 扩展 可 能 还 带 上 这 个 证 书 颁发 者 的 证 书 地 址 (也 就 是 证 书 链 的 
上 一 层 证 书 )。 现 在 服务 器 证 书 已 经 很 少 直 接 使 用 根 证 书 进行 签名 了 ， 所 以 说 用 户 一 般 需 要 在 他 
们 的 配置 里 面 加 上 一 个 或 者 多 个 中 间 证 书 , 这 时 候 就 很 容易 出 现 因为 漏 了 导致 证 书 验证 失败 。 有 
一 些 客户 端 ( 例如 IE ) 会 使 用 这 个 信息 来 获取 中 间 CA 的 证 书 ， 从 而 弥补 服务 器 忘记 配置 中 间 证 
书 的 问题 ， 但 是 大 部 分 的 客户 端 不 会 。 

Authority Information Access: 


OCSP - URI:http://ocsp.starfieldtech.com/ 
CA Issuers - URI:http://certificates.starfieldtech.com/repository/sf_ intermediate.crt 
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使 用 者 密 钥 标识 符 ( subject key i 








dentifier ) 和 颁发 机 构 密 钥 标识 符 (authority key identifier ) 





扩展 分 别 建立 了 唯一 的 使 用 者 和 颁发 机 构 标 识 符 。 证 书 的 颁发 机 构 密 钥 标识 符 扩展 的 信息 必须 与 


颁发 者 的 使 用 者 密 钥 标识 符 扩展 里 面 





的 信息 一 致 。 这 些 信 息 在 证 书 链 路 径 建立 过 程 中 相当 有 用 ， 


客户 端 会 试图 从 分 支 (服务 器 ) 证 书 开始 ， 寻 找到 根 证 书 所 有 可 能 的 路 径 。 证 书 机 构 经 常 一 个 私 
钥 对 应 多 个 证 书 ,而 这 个 字段 允许 软件 可 以 非常 可 靠 地 让 证 书 和 密 钥 对 应 起 来 。 现 实 中 很 多 服务 
器 提供 的 证 书 链 其 实 都 是 错误 的 , 但 是 因为 浏览 器 可 以 自动 寻找 到 其 他 可 信 的 路 径 , 所 以 这 种 情 











况 常常 被 忽略 了 。 
X509v3 Subject Key Identifier: 
4A:AB:1C:C3:D3:4E:F7:5B:2B:59:7 
X509v3 Authority Key Identifier: 





:AA:20:63:D6:C9:40:FB:14:F1 


keyid:49:4B:52:27:D1:1B:BC:F2:A1:21:6A:62:7B:51:42:7A:8A:D7:D5:56 


最 后 使 用 者 可 选 名 称 ( subject alt 





























ernativename ) 扩展 用 来 列 出 所 有 合法 的 主机 名 。 这 个 扩展 





是 可 选 的 , 如 果 不 存在 , 客户 端 就 会 使 用 使 用 者 ( Subject ) 字段 里 面 公用 名 ( common name, CN ) 


提供 的 信息 ; 如 果 扩 展 存 在 ,那么 在 验证 过 程 中 CN 字段 的 内 容 会 被 忽略 。 





X509v3 Subject Alternative Name : 
DNS :www. feistyduck.com, DNS:fei 


11.2.8” 密 钥 和 证 书 格式 转换 





styduck.com 


私 钥 和 证 书 可 以 以 各 种 格式 进行 存储 , 所 以 你 可 能 经 常 需 要 进行 各 种 格式 之 间 的 转换 ,最 常 


见 的 格式 如 下 所 示 。 
口 Binary (DER) certificate 





口 ASCII (PEM) certificate(s) 








包含 原始 格式 的 X.509 证 书 ， 使 用 DER ASN.1 编 码 。 











包含 base64 编 码 过 的 DER 证 书 ， 它 们 以 ----- BEGIN CERTIFICATE----- 开头 ， 以 ----- END 
CERTIFICATE----- 结尾 。 虽 然 有 些 程序 可 以 允许 多 个 证 书 存 在 一 个 文件 中 , 但 是 一 般 来 说 
一 个 文件 只 有 一 张 证 书 。 例如 Apache Web 服 务 器 要 求 服务 器 的 证 书 全 部 在 一 个 文件 里 面 ， 
而 中 间 证 书 一 起 放 在 另外 一 个 文件 中 。 








口 Binary (DER) key 























包含 DER ASN.1 编 码 后 的 私 钥 的 原始 格式 。OpenSSL 使 用 他 自己 传统 的 方式 创建 密 钥 
(SSLeay ) 格 式 。 还 有 另外 一 种 不 常 使 用 的 格式 叫 作 PKCS#8( RFC 5208 定 义 的 ), OpenSSL 
可 以 使 用 pkcs8 命 令 进行 PKCS#8 格 式 的 转换 。 


OD ASCI (PEM) key 




















口 PKCS#7 certificate(s) 





包括 base64 编 码 后 的 DER 密 钥 和 一 些 元 数据 信息 (例如 密码 的 保存 算法 )。 





RFC 2315 定 义 的 一 种 比较 复杂 的 格式 ,设计 的 目的 是 用 于 签名 和 加 密 数 据 的 传输 。 一 般 
常见 的 是 .p7b 和 .p7c 扩 展 名 的 文件 ， 并 且 文 件 里 面 可 以 包括 所 需 的 整个 证 书 链 。Java 的 密 
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钥 管 理工 具 支 持 这 种 格式 。 

OD PKCS#12 (PFX) key and certificate(s) 
一 种 可 以 用 来 保存 服务 器 私 钥 和 整个 证 书 链 的 复杂 格式 ， 一 般 以 .p12 和 .p 仪 扩展 名 结尾 。 
这 类 格式 常见 于 Microsoft 的 产品 ， 但 是 也 用 于 客户 端 证 书 。 虽 然 很 久 以 前 PFX 表 示 
PKCS#12 之 前 的 版 本 , 现在 PFX 常 被 用 作 PKCS#12 的 代名词 , 不 过 你 已 经 很 难 遇 到 老 版 本 
可 这 


1. PEM 和 DER 转换 
使 用 x509 工 具 进行 PEM 和 DER 格式 之 间 的 证 书 转换 ， 从 PEM 转 换 到 DER : 


$ openssl x509 -inform PEM -in fd.pem -outform DER -out fd.der 
从 DER 转换 到 PEME: 


$ openssl x509 -inform DER -in fd.der -outform PEM -out fd.pem 


在 私 钥 的 DER 和 PEM 格 式 之 间 进 行 转换 方式 是 一 样 的 , 但 是 需要 使 用 rsa 或 者 dsa 命 令 分 别 用 
作 RSA 和 DSA 密 钥 。 


2. PKCS#12 (PFX) 转换 
只 需要 一 个 命令 就 可 以 将 PEM 转 换 成 PKCS#12。 下面 的 例子 将 密 钥 ( fd.key )、 证 书 ( fd.crt ) 
以 及 中 间 证 书 ( fd-chain.crt ) 转换 成 一 个 PKCS#12 文 件 : 


$ openssl pkcs12 -export \ 
-name "My Certificate" \ 
-out fd.p12 \ 
-inkey fd.key \ 
-in fd.crt \ 
-certfile fd-chain.crt 
Enter Export Password: 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 
Verifying- = Enter Export PassiWord:*** 沁 六 水 闵 六 六 闪 六 六 闵 六 六 


如 果 想 反 过 来 转换 就 没 那 么 直接 了 , 虽然 也 可 以 使 用 一 个 命令 , 但 是 这 样 结果 也 会 存在 一 个 
文件 里 面 : 
$ openssl pkcs12 -in fd.p12 -out fd.pem -nodes 
现在 可 以 用 你 最 喜欢 的 编辑 器 打开 fd.pem 然 后 手动 将 其 分 为 独立 的 密 钥 、 证 书 和 中 间 证 书 文 
同时 你 会 发 现 每 一 部 分 的 前 面 都 有 额外 的 内 容 。 例 如 : 


Bag Attributes 
localKeyID: E3 11 E4 F1 2C ED 11 66 41 1B B8 83 35 D2 DD 07 FC DE 28 76 
subject=/1.3.6.1.4.1.311.60.2.1.3=GB/2.5.4.15=Private Organization/serialNumber=06694169/C= © 
GB/ST=London/L=London/0=Feisty Duck Ltd/CN=www.feistyduck.com 
issuer=/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./OU=http://certificates. © 
starfieldtech.com/repository/CN=Starfield Secure CertificationAuthority 
----- BEGIN CERTIFICATE----- 
MITF5zCCBM+gAwIBAgIHBCG9JXlv9vTANBgkqhkiCG9wOBAQUFADCB3DELMAKkGA1UE 
BhMCVVMxEDAOBgNVBAgTBOFyaXpvbmExEzARBgNVBAcTC1Njb3ROc2RhbGUxJTAj 


[ee] 
























































件 
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多 出 来 的 这 些 元 数据 可 以 非常 方便 地 用 来 识别 证 书 。 显然 你 需要 确保 主 证 书 文件 洁 括 了 分 支 
服务 器 证 书 而 不 是 别 的 证 书 , 并 且 你 还 得 确保 中 间 证 书 放置 的 顺序 是 正确 的 , 签发 证 书 应 该 在 被 
签名 证 书 的 后 面 。 如 果 你 看 到 了 自 签 名 的 根 证 书 ， 可 以 直接 删除 或 者 将 它 存 到 别 的 地 方 , 不 应 该 
将 其 放 到 证 书 链 里 面 。 

警告 

除了 编码 后 的 密 钥 和 证 书 , 最终 转 换 后 的 结果 不 应 该 包括 任何 别 的 内 容 。 虽 然 有 一 些 
工具 可 以 自动 忽略 那些 不 需要 的 部 分 , 但 不 是 所 有 工具 都 可 以 。 如 果 在 PEM 保 留 了 这 
些 无 用 的 内 容 ， 可 能 会 导致 后 续 排查 问题 的 时 候 遇 到 困难 。 


可 以 直接 让 OpenSSL 来 划分 不 同 的 部 分 ， 不 过 需要 执行 多 次 的 pkcs12 命 令 (每 次 还 得 输入 对 
应 的 密码 ): 


$ openssl pkcs12 -in fd.p12 -nocerts -out fd.key -nodes 
$ openssl pkcs12 -in fd.p12 -nokeys -clcerts -out fd.crt 
$ openssl pkcs12 -in fd.p12 -nokeys -cacerts -out fd-chain.crt 


这 种 方式 并 没有 更 简单 , 你 还 是 得 检查 每 个 文件 确保 它们 的 内 容 是 正确 的 , 并 且 已 经 移 除 了 
那些 元 数据 。 

3. PKCS#7 转 换 

使 用 crl2pkcs7 命 令 将 PEM 转 换 成 PKCS#7 格 式 : 

$ openssl crl2pkcs7 -nocrl -out fd.p7b -certfile fd.crt -certfile fd-chain.crt 

将 pkcs7 命 令 与 -print_certs 开 关 一 起 使 用 可 以 将 PKCS#7 转 换 成 PEM 格 式 : 

openssl pkcs7 -in fd.p7b -print certs -out fd.pem 


与 PKCS#12 一 样 ， 你 还 得 手动 编辑 fd.pem 文 件 并 且 将 其 分 成 不 同 部 分 。 
11.3 配置 


本 方 我 会 讨论 两 个 与 TLS 部 署 相关 的 话题 。 首 先是 密码 套件 的 配置 ， 你 需要 从 可 用 的 TLS 密 
码 套件 里 面 找 出 你 希望 用 来 加 密 通 信 的 那些 套件 。 这 个 话题 很 重要 ,因为 几乎 每 个 使 用 OpenSSL 
的 程序 都 会 重用 它 的 套件 配置 , 这 意味 着 你 只 需要 学 会 如 何 给 某 一 个 程序 配置 密码 套件 后 , 别 的 
地 方 同时 也 可 以 适用 。 第 二 个 话题 主要 讨论 纯 加 解密 操作 的 性 能 衡量 方式 。 


11.3.1 选择 密码 套件 


TLS 服 务 器 配置 中 一 个 共同 的 任务 是 选择 支持 哪些 密码 套件 。 依 赖 OpenSSL 的 那些 程序 一 般 
采用 与 OpenSSL 同 样 的 套件 配置 方式 ， 只 需要 简单 地 将 配置 传递 给 OpenSSL 就 可 以 了 。 例 如 在 
Apache httpd 中 ， 它 的 密码 套件 配置 可 能 类 似 于 这 样 : 


SSLHonorCipherOrder On 
SSLCipherSuite "HIGH:!aNULL:@STRENGTH" 
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一 行 控制 密码 套件 的 优先 级 ( 同时 让 httpd 主 动 选 择 套件 )。 
第 二 行 控制 支持 的 套件 列表 。 
为 有 很 多 细节 要 考虑 , 所 以 要 想 配置 合理 的 套件 需要 花费 不 少 的 时 间 。 最 好 的 方式 是 使 用 


YYR AR 























OpenSSL 的 ciphers 命 令 来 确定 每 个 套件 对 应 的 配置 。 


1. 获取 所 支持 的 套件 列表 
在 开始 配置 之 前 , 需要 先 确定 你 安装 的 OpenSSL 版 本 支持 哪些 套件 。 可 以 调用 带 有 -v 开 关 和 


ALL:COMPLEMENTOFALL 参 数 的 ciphers 命 令 来 列 出 所 有 套件 ( 显然 这 里 ALL 并 不 是 真正 意义 上 的 “所 
有 ”): 


件 


O 


$ openssl ciphers -v ALL:COMPLEMENTOFALL" 
ECDHE-RSA-AES256-GCM-SHA384 TLSv1. Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD 


| 


ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD 
ECDHE-RSA-AE9256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384 
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1 


[106 more lines...] 
提示 
如 果 使 用 的 是 OpenSSL 1.0.0 之 后 的 版 本 , 可 以 使 用 大 写 的 -V 开 关 来 获取 更 详细 的 输出 
内 容 。 这 种 模式 下 的 输出 内 容 会 包括 套件 的 ID ,非常 方 便 。 例 如 OpenSSL 不 一 定 使 用 
REFC 标 准 的 套件 名 称 ， 在 这 种 情况 下 就 需要 通过 ID 进行 二 次 确认 。 


我 这 里 一 共 输 出 了 111 个 套件 ， 每 一 行 都 包含 一 个 套件 的 信息 和 下 面 这 些 信息 : 
(1) 套件 名 称 

(2) 最 低 的 TLS 版 本 

(3) 密 钥 交换 算法 

(5) 对 称 加 密 算 法 和 长 度 

(6) 消息 摘要 ( 完整 性 检查 ) 算法 

(7) 出 口 套件 指示 符 






































如 果 不 使 用 ALL:COMPLEMENTOFALL 而 是 使 用 别 的 密码 套件 参数 , OpenSSL 就 只 会 列 出 对 应 的 套 
例如 你 可 以 只 显示 基于 RC4 的 那些 密码 套件 ， 如 下 所 示 。 

$ openssl ciphers -v 'RC4' 

ECDHE-RSA-RC4-SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) ac=SHA 
ECDHE-ECDSA-RC4-SHA SSLV3 Kx=ECDH Au=ECDSA Enc=RC4(128) ac=SHA 
AECDH-RC4- SHA SSLv3 Kx=ECDH Au=None Enc=RC4(128) ac=SHA 
ADH-RC4-MD5 SSLv3 Kx=DH Au=None Enc=RC4(128) ac=MD5 
ECDH-RSA-RC4-SHA SSLV3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) ac=SHA 
ECDH-ECDSA-RC4-SHA SSLV3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) ac=SHA 

RC4-SHA SSLV3 Kx=RSA Au=RSA Enc=RC4(128) ac=SHA 

RC4-MD5 S9LV3 Kx=RSA Au=RSA Enc=RC4(128) ac=MD5 

PSK-RC4- SHA 9SLV3 Kx=PSK Au=PSK Enc=RC4(128) ac=SHA 
EXP-ADH-RC4-MD5 SSLV3 Kx=DH(512) Au=None Enc=RC4(40) ac=MD5 export 
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EXP-RC4-MD5 





SSLV3 Kx=RSA(512) Au=RSA Enc=RC4(40) Mac=MD5 export 








虽然 有 一 些 套 件 是 不 安全 的 ， OpenSSL 还 是 会 把 你 要 求 的 套件 全 部 输出 来 ， 当 然 你 还 得 从 这 


些 配 置 里 面 筛选 出 安全 的 套件 。 而 且 套 件 的 输出 顺序 也 是 有 含义 的 ， 当 你 的 TLS 服 务 器 设置 为 手 
动 选择 密码 套件 时 ( 这 是 最 好 的 方式 ， 也 应 该 这 人 么 设置 )， 越 靠 前 的 套件 优先 级 越 高 。 








2. 关键 字 


























密码 套件 关键 字 (keyword ) 是 密码 套件 配置 的 最 基本 的 组 成 部 分 ， 每 个 套件 名 称 ( 例如 ， 
RC4-SHA ) 对 应 一 个 套件 。 其 他 关键 字 则 根据 某 些 标准 对 应 一 组 套件 。 关键 字 名 称 是 区 分 大 小 写 























的 。 我 本 来 应 该 直接 向 你 呈现 记录 有 一 堆 复 杂 关键 字 的 OpenSSL 文 档 , 但 是 发 现 加 密 文档 不 是 最 





新 的 ， 缺少 了 最 近 新 增 的 内 容 。 所 以 我 会 在 本 节 尝 试 记录 下 所 有 关键 字 。 
组 关键 字 是 选择 常用 密码 套件 的 一 种 快捷 方式 ， 例 如 HIGH 只 会 列 出 安全 性 非常 强 的 密码 套 

















件 ， 如 表 11-1 所 示 。 


表 11-1 组 关键 字 














































































































关 键 字 全 这 

DEFAULT 默认 的 密码 列表 。 这 是 在 编译 的 时 候 确 定 的 ，OpenSSL 1.0.0 的 默认 值 一 般 是 ALL:! 
aNULL: !eNULL。 这 一 定 是 第 一 个 特定 的 密码 字符 串 

COMPLEMENTOFDEFAULT ”这 些 密码 包含 在 ALL 里 面 ， 但 是 默认 是 未 启用 的 。 当 前 是 ADH。 需 要 注意 的 是 这 条 规则 不 包含 
eNULL， 也 同时 没有 被 ALL 所 圳 括 在 内 (如 果 有 必要 ， 请 使 用 COMPLEMENTOFALL) 

ALL 除了 eNULL 密 码 之 外 的 所 有 密码 套件 ， 需 要 显 式 启用 才 可 以 使 用 

COMPLEMENTOFALL 不 包含 在 ALL 的 密码 套件 中 ， 当 前 是 eNULL 

HICH “High” 加 密 密 码 套件 。 当 前 是 指 密 钥 长 度 超过 128 位 的 密码 套件 

EDIUM “Medium” 加 密 密 码 套件 ， 当 前 是 指 那些 使 用 128 位 的 加 密 算 法 

LO “Low” 加 密 密 码 套件 ， 当 前 是 指使 用 64 或 者 56 位 的 加 密 算法 ， 但 是 不 包含 那些 出 口 的 密码 套 
件 。 不 安全 

EXP、 EXPORT 出 口 加 密 算法 。 包 含 40 和 56 位 的 算法 。 不 安全 

EXPORT40 40 位 出 口 加 密 算法 。 不 安全 

EXPORT56 56 位 出 口 加 密 算 法 。 不 安全 

是 


TLSv1、SSLv3、SSLv2 “分别 





TLS 1.0、SSL 3 或 者 SSL 2 支持 的 密码 套件 





摘要 关键 字 会 按照 特定 的 摘要 算法 筛选 出 密码 套件 。 例 如 MD5 表 示 筛 选 出 所 有 基于 MD5 作 为 
完整 性 验证 的 密码 套件 ， 如 表 11-2 所 示 。 





表 11-2 ”摘要 算法 关键 字 














关 键 字 含 义 
MD5 使 用 MD5 的 密码 套件 。 已 废弃 而 且 不 安全 
SHA、 SHA1 使 用 SHA1 的 密码 套件 
SHA256(v1.0.0+) 使 用 SHA256 的 密码 套件 
SHA384(v1.0.0+) 使 用 SHA384 的 密码 套件 
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注意 

摘要 算法 的 关键 字 只 筛选 出 在 协议 层 会 进行 数据 完整 性 验证 的 套件 。TLS 1.2 引 入 了 
对 可 验证 加 密 的 支持 ， 它 是 一 种 将 加 密 和 完整 性 检查 打包 在 一 起 的 机 制 。 当 使 用 了 
AEAD (authenticated encryption with associated data ) 之 后 ，TLS 协 议 就 不 需要 提供 额 
外 的 完整 性 检查 。 因 此 你 无 法 通过 摘要 算法 筛选 出 AEAD 套 件 ( 这些 套件 现在 的 名 称 
里 面 会 带 上 GCM )。 这些 套 件 名 称 虽然 以 SHA256 和 SHA384 结 尾 ， 但 是 这 里 它们 仅仅 
用 来 生成 套件 所 需要 的 伪 随 机 函数 (pseudorandom function )。 


验证 关键 字 会 租 选 出 那些 基于 它们 所 用 验证 方式 的 套件 (参见 表 11-3 )。 现 在 几乎 所 有 的 公 
用 证 书 都 使 用 RSA 作 为 验证 。 未 来 我 们 也 许 会 看 到 越 来 越 多 的 人 使 用 椭圆 曲线 (elliptic curve， 
ECDSA ) 证 书 。 











表 11-3 ”验证 关键 字 



























































关 键 字 含 义 
aDH 区 用 DH 验证 的 密码 套件 ， 即 证 书 携带 了 DH 密 钥 (v1.0.2+) 
aDSS、DSS 使 用 DSS 验证 的 密码 套件 ， 即 证 书 携带 了 DSS 密 铀 
aECDH (v1.0.0+) 使 用 ECDH 验 证 的 密码 套件 
aECDSA (v1.0.0+) 使 用 ECDSA 验 证 的 密码 套件 
aNULL 不 支持 验证 的 密码 套件 。 现 在 是 指 匿 名 DH 算 法 。 不 安全 
aRSA 使 用 RSA 验 证 的 密码 套件 ， 即 证 书 携带 了 RSA 密 铀 
PSK 使 用 PSK (Pre-Shared 密 钥 ) 进行 验证 的 密码 套件 
SRP 使 用 SRP (安全 远程 密码 ) 进行 验证 的 密码 套件 

















密 钥 交换 关键 字 会 基于 所 选择 的 密 钥 交换 算法 筛选 套件 〈 参 见 表 11-4 )。 当 使 用 临时 
Diffie-Hellman 套 件 的 时 候 ，OpenSSL 对 套件 和 关键 字 的 命名 总 是 不 一 致 。 在 套件 名 称 里 面 ， 临 时 
套件 会 将 E 放 在 密 钥 交 换算 法 的 后 面 ( 例如 ，ECDHE-RSA-RC4-SHA 和 DHE-RSA-AES256-SHA )， 但 是 关 
键 字 则 是 放 在 开头 ( 例如，EEDHE 和 EDH )。 更 糟糕 的 是 ， 有 些 老 的 套件 会 将 E 放 在 密 钥 交换 算法 的 
开头 〈 例 如 ，EDH-RSA-DES-CBC-SHA )。 















































表 11-4 ” 密 钥 交换 关键 字 


























关 键 字 含义 
ADH 匿名 DH 密码 套件 。 不 安全 
AECDH(v1.0.0+) 匿名 ECDH 密 码 套件 。 不 安全 
DH 时 用 DH 的 密码 套件 (包括 临时 和 匿名 DH) 
ECDH(v1.0.0+) 使 用 ECDH 的 密码 套件 (包括 临时 和 匿名 ECDH) 
EDH(V1.0.0+) 使 用 临时 DH 进 行 密 码 协 商 的 密码 套件 
EECDH (v1.0.0+) 使 用 临时 ECDH 的 密码 套件 
kECDH (v1.0.0+) 时 用 ECDH 密 码 协 商 的 密码 套件 
kEDH 各 用 临时 DH 密 钥 协商 的 密码 套件 (包括 匿名 DH) 
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( 续 ) 
关 键 字 含 义 
kEECDH (v1.0.0+) 使 用 临时 ECDH 密 钥 协 商 的 密码 套件 (包括 匿名 ECDH) 
kRSA、 RSA 使 用 RSA 进 行 密 钥 交 换 的 密码 套件 














密码 关键 字 基 于 它们 使 用 的 密码 选择 套件 ( 参见 表 11-5 )。 
表 11-5 ”密码 关键 字 






































关 键 字 含义 
3DES 使 用 三 倍 DES 的 密码 套件 
AES 使 用 AES 的 密码 套件 
AESGCM (v1.0.0+) 使 用 AES GCM 的 密码 套件 
CAMELLIA 使 用 Camellia 的 密码 套件 
DES 使 用 单独 DES 的 密码 套件 。 已 废弃 而 且 不 安全 
eNULL、NULL 不 加 密 的 密码 套件 。 不 安全 
IDEA 使 用 IDEA 的 密码 套件 
RC2 使 用 RC2 的 密码 套件 。 已 废弃 而 且 不 安全 
RC4 使 用 RC4 的 密码 套件 。 不 安全 
SEED 使 用 SEED 的 密码 套件 
还 有 一 些 套件 无 法 归 到 任何 类 别 里 面 (参见 表 11-6 )。 它们 中 的 大 部 分 与 GOST 标 准 相关 ， 是 








在 前 苏联 解体 之 后 ， 独 联 体 中 的 一 些 国家 开发 出 来 的 。 
表 11-6 ”其 他 关键 字 

































































关 键 字 含 义 

@STRENGTH 根据 加 密 算法 密 钥 长 度 进行 排序 后 的 密码 套件 列表 

aCGOST 使 用 GOST R 34.10 (要 么 2001， 要 么 94) 进行 验证 的 密码 套件 ， 需 要 有 GOST 功 能 的 引擎 
a00STO1 使 用 GOST R34.10-2001 验 证 的 密码 套件 

aGOST94 使 用 GOST R 34.10-94 验 证 的 密码 套件 。 已 废弃 。 请 使 用 GOST R 34.10-2001 

kGOST 使 用 VKO 34.10 进 行 密 钥 交换 的 密码 套件 ， 已 在 RFC 4357 中 指定 

GOST94 基于 GOST R 34.11-94 使 用 HMAC 的 密码 套件 

GOST89MAC 使 用 GOST 28147-89 而 且 不 是 HMAC 的 密码 套件 














3. 组 合 关键 字 
大 部 分 情况 下 使 用 直接 关键 字 本 身 即 可 ,但 是 有 时 候 也 需要 使 用 + 号 将 两 个 或 者 多 个 关键 字 
组 合 在 一 起 来 筛选 出 符合 多 个 要 求 的 套件 。 下 面 的 例子 中 我 们 筛选 出 RC4 和 SHA 的 套件 : 


$ openssl ciphers -v 'RC4+SHA' 



































ECDHE-RSA-RC4- SHA SSLv3 Kx=ECDH Au=RSA Enc=RC4(128) Mac=SHA1 
ECDHE-ECDSA-RC4-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=RC4(128) Mac=SHA1 
AECDH-RC4-SHA SSLv3 Kx=ECDH Au=None Enc=RC4(128) Mac=SHA1 


ECDH-RSA-RC4-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=RC4(128) Mac=SHA1 


11.3 配置 293 





ECDH-ECDSA-RC4-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=RC4(128) ”Mac=SHA1 
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) ”Mac=SHA1 
PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) ”Mac=SHA1 


4. 创建 密码 套件 列表 

构建 一 份 密码 套件 配置 的 关键 在 于 当前 套件 列表 ( current suite list )。 这 份 列表 最 开始 都 是 空 
的 , 没有 任何 套件 , 不 过 当 你 给 配置 字符 串 添加 任何 关键 字 之 后 这 份 列表 就 会 发 生变 化 。 默 认 情 
况 下 ， 新 套件 会 追加 到 结尾 处 。 例 如 要 选择 RC4 和 AES 算 法 的 套件 可 以 是 : 

$ openssl ciphers -v 'RC4:AES' 

冒号 常用 来 分 隔 关键 字 ， 空 格 和 逗号 也 有 同样 的 作用 。 下 面 的 命令 与 之 前 命令 的 效果 一 样 : 


$ openssl ciphers -v 'RC4 AES' 


5. 关键 字 修 饰 符 
关键 字 修 饰 符 是 那些 可 以 放 在 每 个 关键 字 的 前 面 的 字符 , 它 可 以 改变 默认 行为 ( 默认 行为 是 
加 入 到 列表 里 面 )， 支持 下 面 这 些 操作 。 
口 结尾 附加 
在 列表 末尾 加 入 套件 。 列 表 上 已 经 有 的 套件 会 保持 原来 的 位 置 。 当 关键 字 之 前 没有 别 的 
修饰 符 时 ， 这 是 默认 行为 。 

口 删除 (-) 

从 列表 中 删除 所 有 匹配 的 套件 ， 但 是 后 续 其 他 关键 字 依旧 可 以 让 这 些 套 件 重 现 。 

口 永久 删除 (1) 
从 列表 中 删除 所 有 匹配 的 套件 并 且 后 续 任 何 关键 字 也 无 法 重 现 这 些 套件 。 当 你 确定 永远 
不 再 使 用 某 些 套 件 的 情况 下 , 使 用 这 个 修饰 符 可 以 让 你 后 续 的 决策 变 得 简单 , 同时 可 以 减 
少 犯 错 。 

口 移 到 行 尾 (+) 

将 所 有 符合 的 套件 移 到 列表 未 尾 。 仅 对 已 经 存在 的 套件 有 效 ， 不 会 新 增 套件 到 列表 里 面 。 
在 你 希望 保留 某 些 弱 套件 同时 希望 优先 使 用 强 密码 套件 的 时 候 , 就 可 以 使 用 这 种 方式 。 例 
如 RC4:+MD5 会 保留 所 有 的 RC4 套 件 ， 但 是 将 其 中 基于 MD5 的 套件 移 到 末尾 。 


@ 排序 
@STRENGTH 和 别 的 关键 字 都 不 一 样 (我 猜测 这 也 是 为 什么 它 的 名 称 里 面 有 一 个 @ ): 它 不 会 增加 




















































































































或 者 减少 任何 套件 , 但 是 会 按照 套件 的 加 密 强 度 进行 降序 排列 。 自 动 排序 是 一 个 很 好 的 想法 , 但 
是 在 现实 中 我 们 很 难 通过 加 密 长 度 就 判断 出 密码 套件 的 强度 。 

例如 下 面 的 配置 : 

$ openssl ciphers -v `“DES-CBC-SHA:DES-CBC3-SHA:RC4-SHA:AES256-SHA:@STRENOGTH 

AES256-SHA SSLV3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1 

DES-CBC3-SHA SSLV3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1 

RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 


DES-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=DES(56) Mac=SHA1 





294 第 11 章 OpenSSL 




















理论 上 ， 输 出 是 按照 强度 排序 的 ， 现 实 中 你 会 希望 能 够 更 好 地 控制 套件 顺序 : 

口 例如 当 使 用 TLS 1.0 以 及 更 低 版 本 的 时 候 ，AES256-SHA ( CBC 套 件 ) 会 遭受 到 BEAST 攻 

击 ， 这 时 候 你 会 希望 提高 RC4-SHA 套 件 的 优先 级 ， 它 不 受 BEAST 攻 击 的 影响 。 

口 3DES 表 面 上 是 168 位 强度 ,实际 上 一 种 叫 作 中 途 相遇 ( meet-in-the-middle ) 的 攻击 可 以 将 
它 的 强度 降 到 112 位 ,，“ 加 上 其 他 的 问题 甚至 可 以 将 强度 降 为 108 位 。” 实 际 上 
DES-CBC3-SHA 应 该 被 归 为 128 位 密码 套件 ， 严 格 来 说 OpenSSL 将 3DES 归 为 168 位 密码 套 
件 其 实 是 一 个 bug， 未 来 有 可 能 会 修复 。 

6. 处 理 错误 

你 在 配置 的 时 候 可 能 会 遇 到 两 种 错误 ， 第 一 种 是 排版 错误 或 者 使 用 了 不 存在 的 关键 字 : 


$ openssl ciphers -v “QHIOH 

Error in cipher list 

140460843755168:error:140E6118:SSL routines:SSL CIPHER PROCESS RULESTR:invalid command:ssl ciph. 
G317. 


这 个 输出 结果 非常 含糊 ， 但 是 的 确 包含 了 错误 信息 。 
另外 一 种 错误 是 出 现 类 似 下 面 的 结果 ， 一 般 是 因为 不 存在 匹配 的 密码 套件 。 


$ openssl ciphers -v 'SHA512" 
Error in cipher list 
140202299557536:error:1410DOB9:SSL routines:SSL CTX set cipher list:no cipher match:ssl lib.c:1312: 


7. 合并 多 个 套件 

为 了 说 明 如 何 将 多 个 套件 的 功能 组 合 在 一 起 , 我 会 举 一 个 现实 的 例子 ; 但 是 请 记 住 下 面 仅 仅 
是 一 个 例子 。 因 为 在 进行 配置 之 后 我 们 有 很 多 东西 需要 考虑 ,所 以 不 存在 一 个 配置 可 以 匹配 所 有 
情况 。 

因此 在 开始 配置 之 前 , 我 们 需要 清晰 地 确定 想 要 达成 什么 效果 。 对 我 来 说 ,我 希望 有 下 面 这 
样 一 个 相对 安全 同时 高 性 能 的 配置 。 

(1) 只 使 用 加 密 效 果 128 位 及 以 上 的 密码 套件 ( 这 就 排除 掉 了 3DES )。 

(2) 只 使 用 提供 强 验证 的 套件 ( 这 就 排除 控 了 匿名 和 出 口 套件 )。 

(3) 不 要 使 用 任何 依赖 不 安全 算法 的 套件 。 

(4) 实现 无 论 是 用 什么 密 钥 和 协议 ， 都 可 以 支持 前 向 保密 〈 forward secrecy )。 这 个 要 求 会 让 
我 们 无 法 使 用 RSA 进 行 高 性 能 的 密 钥 交 换 , 因此 会 导致 一 部 分 的 性 能 损失 。 通过 将 更 快 的 ECDHE 
的 优先 级 提 到 DHE 之 前 ， 可 以 尽 可 能 地 降低 损耗 。 

(5) 优先 使 用 ECDSA 而 不 是 RSA。 这 项 要 求 需 要 我 们 支持 双 密 钥 部 署 模式 ， 因 为 这 样 我 们 才 
能 尽 可 能 地 使 用 ECDSA 算 法 ， 同 时 又 可 以 支持 那些 只 能 使 用 RSA 的 客户 端 。 

(6) 支持 TLS 1.2 的 客户 端 会 优先 使 用 AES GCM 套 件 ， 这 个 套件 是 在 当前 TLS 版 本 中 安全 性 最 






















































































































































































QD Cryptography/Meet In The Middle Attack, https://en.wikibooks.org/wiki/Cryptography/Meet In The Middle Attack 
( Wikibooks， 检 索 于 2014 年 3 月 31 日 )。 
© Attacking Triple Encryption, http://th.informatik.uni-mannheim.de/people/lucks/publ.shtml ( Stefan Lucks, 1998 )。 

















11.3 配置 295 





好 的 。 
(7) 最 近 RC4 有 更 多 弱点 被 发 现 "， 所 以 我 将 它 放 到 了 列表 的 末尾 ， 当 然 最 好 是 去 掉 它 。 虽 然 
BEAST 在 某 些 情况 下 依旧 是 一 个 问题 ， 我 假设 这 个 问题 已 经 由 客户 端 解决 掉 了 。 
从 一 开始 就 应 该 禁用 掉 所 有 不 希望 使 用 的 套件 , 这 样 就 可 以 减少 很 多 配置 ,而 且 避 免 了 不 小 
心 错误 地 引入 不 该 使 用 的 套件 。 
使 用 下 面 这 些 加 密 字符 串 可 以 筛选 出 弱 密 码 套件 。 
口 aNULL 无 验证 
口 eNULL 无 加 密 
口 Low 低 强 度 套件 
口 3DES 有 效 加 密 强 度 为 108 位 
口 MD5 ”使 用 MD5 的 套件 
口 EXP 已 废弃 的 出 口 套 件 
因为 DSA、PSK、SRP 和 ECDH 很 少 使 用 ， 所 以 我 直接 将 它们 去 除 ， 这 样 也 可 以 减少 出 现 的 
套件 的 数量 。OpenSSL 虽 然 还 支持 IDEA 和 SEED， 但 它们 都 已 经 是 废弃 的 算法 了 。 在 我 的 配置 里 
也 去 掉 了 CAMELLIA ， 因 为 它 比 较 慢 而 且 不 如 AES 支 持 的 客户 端 多 (例如 在 实际 中 不 支持 GCM 
或 者 ECDHE 变 体 )。 
laNULL leNULL !LOW !3DES !MD5 !EXP !DS9S !PSK !SRP !KECDH !CAMELLIA !IDEA !SEED 
现在 我 们 将 注意 力 聚 焦 在 我 们 想 要 的 效果 上 。 因 为 前 向 保密 是 我 们 的 最 高 优先 级 ,所 以 我 们 
以 KEECHE 和 kEDH 关 键 字 开头 : 


EECDH kEDH !aNULL !eNULL !LOW !3DES !MD5 !EXP !DSS !PSK !SRP !KECDH !CAMELLIA 
1IDEA !SEED 


你 会 发 现 如 果 直 接 使 用 上 面 的 配置 ，RSA 套 件 会 排 在 前 面 ， 但 其 实 我 希望 将 ECDSA 放 在 最 







































































前 面 : 
ECDHE-RSA-AES256-GCM- SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD 
ECDHE-ECDSA-AES256-GCM- SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD 
ECDHE-RSA-AES256- SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384 
ECDHE-ECDSA-AES256- SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384 
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1 
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1 
ECDHE-RSA-AES128-GCM- SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD 


oka 
因此 我 可 以 将 KEECDH+ECDSA 放 在 配置 的 最 前 面 ， 这 样 就 可 以 将 ECDSA 优 先 筛选 出 来 了 : 


EECDH+ECDSA KEECDH KkEDH !aNULL !eNULL !LOW !3DES !MD5 !EXP !DSS !PSK !SRP !kECDHICAMELLIA® 
1IDEA !SEED 


下 面 一 个 问题 是 老 的 套件 (SSL3 ) 和 新 的 套件 混在 一 起 了 (TLS 1.2 ),。 为 了 尽 可 能 安全 ,我 
希望 所 有 的 TLS 1.2 的 客户 端 都 能 协商 并 使 用 TLS 1.2 的 密码 套件 。 因 此 可 以 通过 使 用 +SHA 关 键 字 



































QD On the Security of RC4 in TLS and WPA ,http:/www.isg.rhul.ac.uk/tls/ (AlFardan 等 ，2013 年 3 月 13 日 )。 
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来 将 老 的 套件 放 到 列表 的 末尾 〈( TLS 1.2 套 件 只 会 使 用 SHA256 和 SHA384， 所 以 它们 不 会 匹配 到 )。 


KEECDH+ECDSA KEECDH KkEDH +SHA laNULL leNULL !LOW !3DES !MD5 !EXP !DSS !PSK !SRP !KECDH !CAMELLIA® 
!IDEA !SEED 


到 这 里 基本 完成 , 只 需要 在 使 用 HIGH 关 键 字 将 剩余 的 安全 套件 也 加 入 到 列表 未 尾 即 可 。 另外， 
还 需要 确保 RC4 套 件 在 列表 的 末尾 ， 可 以 使 用 +RC4 ( 将 RC4 套 件 放 到 列表 未 尾 ) 和 RC4 (将 剩余 
的 未 在 列表 里 面 的 RC4 套 件 加 入 进来 ): 


kEECDH+ECDSA 


EECDH 





IkECDH !CAMELLIA !IDEA !SEED 


我 们 再 看 一 下 最 后 的 输出 结 
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AES256-GCM- SHA384 
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ECDSA-AES256-GCM- SHA384 
ECDSA-AES256-SHA384 
ECDSA-AES128-GCM- SHA256 
ECDSA-AES128-SHA256 
RSA-AES256-GCM- SHA384 
RSA-AES256- SHA384 
RSA-AES128-GCM- SHA256 
RSA-AE9128-SHA256 
SA-AES256-GCM- SHA384 
SA-AES256-SHA256 
SA-AES128-GCM- SHA256 
SA-AES128-SHA256 








ES256-SHA256 
ES128-GCM- SHA256 
AES128-SHA256 


















































优先 使 用 ECDHE， 然 后 是 DHE， 最 后 才 是 剩余 的 TLS 1.2 套 件 。 在 任何 一 组 里 面 ， 
GCM 都 拥有 更 高 的 优先 级 。 


第 二 组 是 TLS 1.0 客 户 端 会 使 用 的 套件 ,使 用 类 似 第 


ECDHE-ECDSA-AES256-SHA 
ECDHE-ECDSA-AES128-SHA 
ECDHE-RSA-AES256-SHA 
ECDHE-RSA-AES128-SHA 
DHE-RSA-AES256-SHA 
DHE-RSA-AES128-SHA 
DHE-RSA-SEED-SHA 
AES256-SHA 

AES128-SHA 


最 后 把 RC4 套 件 放 到 末尾 : 


ECDHE-ECDSA-RC4-SHA 
ECDHE-RSA-RC4- SHA 
RC4-SHA 


8. 推荐 配置 





前 面 一 节 展 示 了 一 个 使 用 OpenSSL 套 件 关键 









































EDH HIGH +SHA +RC4 RC4 laNULL leNULL !LOW !3DES !MD5 !EXP!IDSS !PSK I!SRP©O 















































一 共 由 28 个 套件 组 成 。 第 一 组 都 是 TLS 1.2 的 套件 : 
TLSv1.2 X=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD 
TLSV1.2 X=ECDH Au=ECDSA Enc=AES(256) ac=SHA384 
TLSv1.2 X=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD 
TLSv1.2 X=ECDH Au=ECDSA Enc=AES(128) ac=SHA256 
TLSv1.2 X=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD 
TLSv1.2 x=ECDH Au=RSA Enc=AES(256) ac=SHA384 
TLSv1.2 X=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD 
TLSv1.2 X=ECDH Au=RSA Enc=AES(128) ac=SHA256 
TLSv1.2 x=DH Au=RSA Enc=AESGCM(256) Mac=AEAD 
TLSv1.2 x=DH Au=RSA Enc=AES(256) ac=SHA256 
TLSv1.2 x=DH Au=RSA Enc=AESGCM(128) Mac=AEAD 
TLSv1.2 x=DH Au=RSA Enc=AES(128) ac=SHA256 
TLSv1.2 X=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD 
TLSV1.2 X=RSA Au=RSA Enc=AES(256) ac=SHA256 
TLSv1.2 X=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD 
TLSv1.2 X=RSA Au=RSA Enc=AES(128) ac=SHA256 
ECDSA 和 
一 组 的 优先 级 顺序 : 

SSLv3 X=ECDH Au=ECDSA Enc=AES(256) ac=SHA 
SSLv3 X=ECDH Au=ECDSA Enc=AES(128) ac=SHA 
SSLV3 X=ECDH Au=RSA Enc=AES(256) ac=SHA 
SSLV3 X=ECDH Au=RSA Enc=AES(128) ac=SHA 
SSLV3 X=DH Au=RSA Enc=AES(256) ac=SHA 
SSLV3 X=DH Au=RSA Enc=AES(128) ac=SHA 
SSLV3 X=DH Au=RSA Enc=SEED(128) Mac=SHA 
SSLV3 X=RSA Au=RSA Enc=AES(256) ac=SHA 
SSLV3 X=RSA Au=RSA Enc=AES(128) ac=SHA 
SSLv3 X=ECDH Au=ECDSA Enc=RC4(128) ac=SH 
SSLV3 X=ECDH Au=RSA Enc=RC4(128) ac=SHA 
SSLV3 X=RSA Au=RSA Enc=RC4(128) ac=SHA 

嫂 字 生成 密码 套件 配置 的 例子 , 但 这 不 是 最 好 的 方 


11.3 配置 297 





式 。 事实 上 没有 任何 一 个 配置 可 以 满足 所 有 人 。 在 本 节 中 我 会 基于 你 的 偏好 和 风险 评定 ,提供 几 
个 不 同 的 配置 供 你 选择 。 
本 节 设 计 的 配置 原理 与 前 面 的 方式 一 样 , 但 是 我 会 修改 两 个 地 方 来 获得 更 好 的 性 能 。 首先 我 
会 将 128 位 的 套件 放 在 列表 的 前 面 ， 因 为 虽然 256 位 的 套件 安全 性 更 高 ， 但 是 128 位 在 当前 已 经 足 
够 安全 ， 所 以 使 用 256 位 的 意义 不 大 ， 而 且 还 会 造成 性 能 损失 。 男 外 我 倾向 于 选择 HMAC-SHA 而 
不 是 HMAC-SHA256 或 者 HMAC-SHA384, 后 面 两 个 更 慢 而 且 所 提高 的 安全 性 当前 看 来 意义 不 大 ， 
HMAC-SHA 就 已 经 足够 了 。 
另外 我 将 由 原来 用 关键 字 进 行 配置 的 方式 改 成 直接 使 用 套件 名 称 。 使 用 关键 字 不 是 个 坏 主 
意 ,你 只 需要 确定 安全 的 需求 ， 剩 下 的 由 OpenSSL 库 去 帮 你 选择 ， 你 甚至 不 需要 知道 会 使 用 哪些 
套件 。 在 实际 中 这 种 方式 并 不 理想 ,因为 我 们 对 所 需要 的 套件 要 求 越 来 越 严格 ， 特 别 是 我 们 有 时 
候 就 想 使 用 其 中 某 个 套件 ， 以 及 按照 我 们 所 希望 的 顺序 排列 。 
在 配置 里 面 直 接 使 用 套件 名 称 还 有 一 个 好 处 : 你 只 需要 列 出 你 想 要 的 套件 即 可 ; 而 且 如 果 你 
看 了 别人 的 配置 ,就 可 以 直接 通过 套件 名 称 确定 它们 使 用 的 套件 , 不 再 需要 通过 OpenSSL 执 行 关 
键 字 命令 后 才能 获取 。 
下 面 是 我 默认 开始 的 配置 ， 同 时 满足 了 强加 密 和 高 性 能 。 
DHE-ECDSA-AES128-GCM- SHA256 
DHE-ECDSA-AES256-GCM- SHA384 
DHE-ECDSA-AES128-SHA 
DHE-ECDSA-AES256-SHA 


EC 
EC 
EC 
EC 
ECDHE-ECDSA-AES128- SHA256 
ECDHE-ECDSA-AES256- SHA384 
EC 
EC 
EC 
EC 
EC 












































































































































DHE-RSA-AES128-GCM- SHA256 
DHE-RSA-AES256-GCM- SHA384 
DHE-RSA-AES128-SHA 
DHE-RSA-AES256-SHA 
DHE-RSA-AES128-SHA256 
ECDHE-RSA-AES256-SHA384 
DHE-RSA-AES128-GCM- SHA256 
DHE-RSA-AES256-GCM- SHA384 
DHE-RSA-AES128-SHA 
DHE-RSA-AES256-SHA 
DHE-RSA-AES128-SHA256 
DHE-RSA-AES256-SHA256 
EDH-RSA-DES-CBC3-SHA 


上 面 这 份 配置 只 提供 了 支持 前 向 保密 和 强加 密 的 套件 。 当 前 流行 的 浏览 融和 客户 端 都 能 
持 , 但 是 一 些 老 的 客户 端 ， 例 如 运行 在 Windows XP 上 的 那些 老 版 本 I 正 就 会 失败 。 如 果真 的 需要 
支持 那些 非常 老 的 客户 端 ， 那 只 能 考虑 在 末尾 加 上 下 面 的 套件 : 

AES128-SHA 

AES256-SHA 

DES-CBC3-SHA 


ECDHE-RSA-RC4- SHA 
RC4-SHA 
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这 些 老 旧 套件 大 部 分 使 用 RSA 作 为 密 钥 交换 ， 因 为 无 法 提供 前 向 保密 的 功能 。 我 们 将 AES 放 
在 前 面 ， 但 是 为 了 最 大 限度 地 支持 更 多 的 客户 端 ， 我 们 也 将 3DES 和 不 安全 的 RC4 加 了 进去 。 如 
果 无 法 避免 使 用 RC4， 最 好 用 ECDHE 套 件 来 提供 前 向 保密 。 


























11.3.2 ”性 能 


你 可 能 知道 , 计算 速度 是 任何 加 密 操 作 最 大 的 影响 因子 。OpenSSL 自 带 了 性 能 评测 工具 ,你 
可 以 使 用 它 对 系统 的 能 力 和 上 限 进行 一 个 大 致 的 评定 。 你 可 以 使 用 speed 命 令 来 执行 评测 。 

如 果 调 用 speed 命 令 的 时 候 没 有 带 上 任何 参数 ，OpenSSL 会 输出 很 多 无 用 信息 ， 最 好 的 方式 
是 只 测试 你 关心 的 那些 套件 。 从 Web 服 务 器 安全 考虑 ， 你 可 能 会 关心 RC4、AES、RSA、ECDH 
和 SHA 算 法 。 

$ openssl speed rc4 aes rsa ecdh sha 

输出 一 共 包 括 三 个 部 分 , 第 一 部 分 包括 OpenSSL 的 版 本 信息 和 编译 时 间 。 如 果 你 在 测试 不 同 
版 本 的 OpenSSL， 并 且 编 译 时 的 选项 也 不 一 样 ， 那 么 这 些 信息 将 会 很 有 帮助 : 


OpenSSL 0.9.8k 25 Mar 2009 

built on: Wed May 23 00:02:00 UTC 2012 

options:bn(64,64) md2(int) rc4(ptr,char) des(idx,cisc,16,int) aes(partial) blowfish(ptr2) 
compiler: cc -fPIC -DOPENSSL PIC -DZLIB -DOPENSSL THREADS -D_REENTRANT -DDSO DLFCN -DHAVE_DLFCN He 
-m64-DL_ENDIAN -DTERMIO -03 -Wa,--noexecstack -g -Wall -DMD32 REG T=int -DOPENSSL BN _ASM MONT® 
-DSHA1 ASM -DSHA256 ASM -DSHA512 ASM -DMD5 ASM -DAES ASM 

available timing options: TIMES TIMEB HZ=100 [sysconf value] 

timing function used: times 
The 'numbers' are jn 1000s of bytes per second processed. 


































































































第 二 部 分 包含 对 称 密码 性 能 数据 ( 例如 ， 散 列 函 数 和 私有 密码 算法 ): 

type 6 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 
sha1 29275.44K 85281.86k 192290.28k 280526.68k 327553.12k 
IC4 60087.81k 172435.03k 174264.75k © 176521.50k 176700.62k 
aes-128 cbc 90345 .06k 140108 .84k 170027.92k 179704.12K 182388.44k 
aes-192 cbc 04770.95k 134601.12k 148900.05k © 152662.30k 153941.11k 
aes-256 cbc 95868.62k 116430.41k 124498.19k 127007.85k 127430.81k 
sha256 23354.37k 54220.61k 99784.35k 126494.48k 138266.71k 
sha512 6022.98k 64657.88k 113304.06k 178301.77k 214539.99k 
最 后 ， 第 三 部 分 包含 非 对 称 加 密 算法 的 性 能 数据 : 

sign verify sign/s verify/s 

rsa 512 bits 0.000120s 0.000011s 8324.9 90730.0 

rsa 1024 bits 0.000569s 0.000031s 1757.0 31897.1 

rsa 2048 bits 0.003606s 0.000102s 277.3 9762.0 

TSa 4096 bits 0.024072s 0.000376s 41.5 2657.4 

op op/s 

160 bit ecdh (secp160r1) 0.0003s 2890.2 

192 bit ecdh (nistp192) 0.0006s 1702.9 

224 bit ecdh (nistp224) 0.0006s 1743.5 

256 bit ecdh (nistp256) 0.0007s 1513.3 

384 bit ecdh (nistp384) 0.0015s 689.6 
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521 bit ecdh (nistp521 0.0029s 340.3 
163 bit ecdh (nistk163 0.0009s 1126.2 
233 bit ecdh (nistk233 0.0012s 818.5 
283 bit ecdh (nistk283 0.0028s 360.2 
409 bit ecdh (nistk409 0.0060s 166.3 
571 bit ecdh (nistk571 0.0130s 76.8 
163 bit ecdh (nistb163 0.0009s 1061.3 
233 bit ecdh (nistb233 0.0013s 755.2 
283 bit ecdh (nistb283 0.0030s 329.4 
409 bit ecdh (nistb409 0.0067s 149.7 
571 bit ecdh (nistb571 0.0146s 68.4 
这 些 输 出 可 以 干什么 ?你 可 以 对 比 相同 平台 下 不 同 编译 选项 或 者 不 同 OpenSSL 版 本 对 性 能 
的 影响 ,例如 前 面 的 结果 就 是 真实 环境 下 的 OpenSSL 0.9.8k 运 行 之 后 的 结果 ( 发 行 方 打 过 了 补丁 )。 




















我 迁移 到 OpenSSL 1.0.1h 的 出 发 点 是 因为 希望 支持 TLS 1.1 和 TLS 1.2; 那 是 否 会 有 性 能 的 影响 呢 ? 
我 下 载 编译 了 OpenSSL 1.0.1h 进 行 测试 。 计 我 们 看 一 下 : 


$ ./openssl-1.0.1h speed rsa 
[aad 
OpenSSL 1.0.1h 5 Jun 2014 
built on: Thu Jul 3 18:30:06 BST 2014 
options:bn(64,64) rc4(8x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) 
compiler: gcc -DOPENSSL THREADS -D REENTRANT -DDSO DLFCN -DHAVE DLFCN H -Wa,--noexecstack -m64© 
-DL_ENDIAN -DTERMIO -03 -Wall -DOPENSSL IA32 SSE2 -DOPENSSL BN ASM MONT -DOPENSSL BN ASM MONT5 © 
-DOPENSSL BN ASM GF2m -DSHA1 ASM -DSHA256 ASM -DSHA512 ASM -DMD5 ASM -DAES ASM -DVPAES ASM©O 
-DBSAES ASM -DWHIRLPOOL ASM -DGHASH ASM 

sign verify sign/s verify/s 
rsa 512 bits 0.000102s 0.000008s 9818.0 133081.7 
rsa 1024 bits 0.000326s 0.000020s 3067.2 50086.9 
rsa 2048 bits 0.002209s 0.000068s 452.8 14693.6 
rsa 4096 bits 0.015748s 0.000255s 63.5 3919.4 


很 显然 , OpenSSL 1.0.1h 的 性 能 在 这 台 服 务 器 上 几乎 快 一 倍 (使 用 2048 位 的 RSA 密 钥 ); 性 能 
从 每 秒 277 次 签名 操作 提高 到 每 秒 450 次 。 这 个 结果 意味 着 我 升级 之 后 还 能 获得 更 好 的 性 能 , 这 真 
的 是 一 个 好 消息 ! 
直接 使 用 这 个 测试 结果 来 衡量 部 署 之 后 的 性 能 并 不 合适 , 因为 在 实际 场景 中 有 很 多 影响 性 能 
的 因素 ， 而 且 很 多 影响 因素 与 TLS 没 有 直接 关系 (例如 HTTP 的 长 连接 设置 、 缓 存 设 置 等 )。 因 此 
这 些 数字 最 多 可 用 来 作 一 个 粗略 的 估计 。 

在 粗略 估计 之 前 ， 你 还 需要 考虑 一 些 东 西 。 默 认 情 况 下 speed 命 令 只 会 使 用 一 个 进程 。 而 现 
在 大 多 数 服务 器 都 有 和 多核， 所 以 你 必须 让 speed 命 令 并 发 使 用 多 个 实例 才能 算出 整 台 服 务 右 能 支 
持 的 TLS 操 作 次 数 。 使 用 -multi 参 数 就 可 以 实现 这 个 测试 , 我 的 服务 器 有 4 个 核 , 所 以 我 使 用 下 面 


这 个 命令 : 



























































$ openssl speed -multi 4 rsa 

[essay 

OpenSSL 0.9.8k 25 Mar 2009 

built on: Wed May 23 00:02:00 UTC 2012 

options:bn(64,64) md2(int) rc4(ptr,char) des(idx,cisc,16,int) aes(partial) blowfish(ptr2) 
compiler: cc -fPIC -DOPENSSL PIC -DZLIB -DOPENSSL THREADS -D REENTRANT -DDSO DLFCN -DHAVE DLFCN H © 
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-m64-DL_ENDIAN -DTERMIO -03 -Wa,--noexecstack -g -Wall -DMD32 REG T=int -DOPENSSL BN ASM MONT © 
-DSHA1 ASM -DSHA256 ASM -DSHA512 ASM -DMD5 ASM -DAES ASM 

available timing options: TIMES TIMEB HZ=100 [sysconf value] 

timing function used: 

sign verify sign/s verify/s 

rsa 512 bits 0.000030s 0.000003s 33264.5 363636.4 

rsa 1024 bits 0.000143s 0.000008s 6977.9 125000.0 

rsa 2048 bits 0.000917s 0.000027s 1090.7 37068.1 

rsa 4096 bits 0.006123s 0.000094s 163.3 10652.6 








正如 预期 的 那样 ， 性 能 几乎 是 原来 的 4 倍 。 我 又 看 了 一 下 每 秒 钟 可 以 执行 多 少 次 RSA 签 名 操 
作 ， 因 为 这 是 一 台 服 务 器 上 最 消耗 CPU 的 密码 操作 ， 所 以 也 是 最 先 产 生 瓶 颈 的 地 方 。1090 次 / 秘 
的 签名 结果 告诉 我 们 ， 这 人 台 服 务 器 每 秒 可 以 处 理 大 约 1000 次 全 新 的 TLS 连 接 。 这 对 我 来 说 已 经 足 
够 了 ， 而 且 有 非常 健康 、 安 全 的 余 量 。 因 为 我 在 服务 器 上 启用 了 会 话 恢复 ,所 以 我 知道 能 够 每 秒 

















处 理 超过 1000 次 的 TLS 连 接 。 我 希望 这 人 台 服 务 器 上 的 流量 能 够 多 到 让 我 可 以 担心 TLS 的 性 能 为 





止 。 


男 外 一 个 不 能 完全 相信 speed 命 令 输出 结果 的 原因 在 于 ， 它 不 会 默认 使 用 可 用 密码 中 最 快 的 
实现 方式 。 在 某 种 情况 下 , 默认 的 输出 具有 欺骗 性 。 例如, 支持 AES-NI 指 令 的 服务 器 可 以 加 速 AES 




















计算 ， 在 测试 的 时 候 这 个 特性 不 会 默认 被 用 到 。 


$ openss]1 speed aes-128-cbc 

Be 

The 'numbers' are in 1000s of bytes per second processed. 

type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 
aes-128 cbc 67546.70k 74183 .00k 69278.82k 155942.87k 156486.38Kk 


为 了 激活 硬件 加 速 卡 ， 需 要 在 命令 行 上 使 用 -evp 开 关 : 


$ openssl speed -evp aes-128-cbc 
[a 

The “numpers” are jn 1000s of bytes per second processed. 

type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 
aes-128-cbc 188523.36k 223595.37k 229763.58k 203658.58k 206452.14k 
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如 果 想 要 建立 自己 的 CA，OpenSSL 已 经 包含 了 所 有 你 需要 的 东西 。 所 有 的 操作 都 通过 纯 命 








令 行 执 行 ， 虽然 不 那么 友好 ， 整 个 过 程 也 比较 长 ,但 是 这 可 以 让 你 去 思考 每 个 细节 。 





我 建议 自己 创建 一 套 私 有 的 CA 主要 是 出 于 教学 的 目的 ， 不 过 还 有 一 些 别 的 原因 。 














OpenSSL 的 CA 天 然 满足 个 人 或 者 小 团体 的 需求 ， 例 如 在 开发 环境 使 用 一 套 CA 比 到 人 处 使 月 








日 自 


签名 的 证 书 好 得 多 。 同 时 还 可 以 通过 客户 端 证 书 来 提供 双向 验证 ,这 可 以 极 大 地 提高 敏感 Web 











应 用 的 安全 性 。 
































运行 私有 CA 最 大 的 挑战 不 是 设置 问题 ， 而 是 如 何 保证 基础 结构 的 安全 。 例 如 根 密 钥 必 须 离 
线 保存 ， 因 为 所 有 的 安全 都 依赖 它 。 另 一 方面 ，CRL 和 OCSP 响 应 程序 证 书 必须 定期 进行 更 新 ， 








而 这 会 要 求 根 密 钥 保持 联机 。 
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注意 
在 你 准备 继续 读 下 去 的 时 候 ， 我 建议 你 先 看 一 遍 第 3 章 ， 这 样 你 会 大 致 了 解 证 书 的 结 
构 以 及 证 书 颁发 机 构 的 运作 。 


11.4.1 ”功能 和 限制 


在 本 节 的 剩余 部 分 , 我 们 会 创建 一 个 与 公共 CA 类 似 的 私有 CA 架构 。 会 先 有 一 个 根 CA, 然后 
创建 其 他 的 二 级 CA。 接 着 我 们 会 通过 CRL 和 OCSP 服 务 提供 证 书 吊 销 信 息 。 为 了 让 根 CA 的 私 钥 
可 以 离线 保存 ，OCSP 响 应 程序 需要 使 用 它们 自己 的 身份 。 这 并 非 是 最 简单 的 CA, 但 是 相对 来 说 
比较 安全 。 田 外 二 级 CA 会 在 技术 上 进行 限制 ， 只 能 给 允许 的 主机 名 签发 证 书 。 

完成 设置 之 后 ,必须 将 根 证 书 安 全 地 分 发 给 所 有 客户 端 。 一 旦 根 证 书 分 发 完毕 ,就 可 以 开始 
签发 客户 端 和 服务 器 证 书 了 。 有 一 个 限制 是 以 这 种 方式 设置 的 OCSP 响 应 程序 主要 用 来 测试 ， 
为 只 能 承受 比较 小 的 负载 。 






























































11.4.2 ”创建 根 CA 


创建 全 新 的 CA 有 几 个 步骤 : 配置 、 创 建 目 录 结 构 和 初始 化 密 钥 文件 ， 最 后 生成 根 密 钥 和 证 
书 。 本 市 描述 了 整个 过 程 和 常见 的 CA 操作 。 

1. 根 CA 配置 

创建 CA 之 前 ， 我 们 需要 先 准备 一 个 配置 文件 告诉 OpenSSL 我 们 希望 的 配置 。 一 般 情况 下 并 
不 需要 配置 文件 ， 但 是 根 CA 的 创建 操作 复杂 ， 使 用 配置 文件 可 以 简便 很 多 。OpenSSL 的 配置 文 
件 很 强大 ， 在 开始 之 前 我 建议 你 熟悉 一 下 这 些 配置 的 功能 ( 命令 行 上 使 用 man config 命 令 )。 
配置 文件 第 一 部 分 包括 了 CA 的 名 称 、 基 础 URL 和 CA 可 分 辨 名 称 等 基本 信息 。 因 为 这 些 配 置 
都 很 灵活 ， 只 需 配 置 一 次 即 可 。 






































default] 

name = root-ca 

domain suffix = example.com 

aia ur = http://$name. $domain suffix/$name.crt 
crl ur = http://$name. $domain suffix/$name.crl 
ocsp_url = http://ocsp. $name.$domain suffix:9080 
default ca = Ca default 

name_opt = Utf8,esc ctrl,multiline,1lname,align 
[ca_dn] 

countryName = "GB" 

organizationName = "Example" 

commonName = "Root CA” 














第 二 部 分 直接 控制 了 CA 的 操作 。 有 关 每 个 设置 的 完整 信息 ， 可 以 通过 ca 命令 来 获取 它 的 文 
档 (命令 行 上 输入 man ca )。 大 部 分 命令 从 字面 意思 就 可 以 很 容易 理解 ， 我 们 需要 告诉 OpenSSL 
存放 文件 的 路 径 。 因 为 根 CA 只 用 作 二 级 CA 的 签发 ， 所 以 我 把 有 效 期 设置 为 10 年 。 另 外 默认 情况 
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下 使 用 SHA256 作 为 签名 算法 。 
默认 策略 ( policy c_o_match ) 限制 了 这 张 CA 签发 的 证 书 的 





国家 名 和 组 织 名 会 与 CA 本 身 一 


样 。 对 于 公共 CA 来 说 很 少 会 有 这 样 的 设置 ， 但 对 于 私有 CA 来 说 这 种 方式 比较 合适 : 





[ca_default] 





home = 。 

database = $home/db/index 
serial = $home/db/serial 
crlnumber = $home/db/crlnumber 
certificate = $home/$name.crt 
private key = $home/private/$name.key 
RANDFILE = $home/private/random 
new certs dir = $home/certs 
unique_ subject = No 

copy_extensions = None 

default days = 3650 

default crl days = 365 

default md = Sha256 

policy = policy c 0o match 
[policy c o match] 

countryName = Match 
stateOrProvinceName = Optional 
organizationName = match 
organizationalUnitName = optional 
commonName = supplied 
emailAddress = optional 





第 三 部 包含 了 req 命 令 的 配置 ，req 命 令 只 会 在 创建 自 签发 根 证 书 的 时 候 用 到 一 次 。 最 重要 的 
部 分 是 扩展 : 基本 限制 (basicContraints ) 扩展 表明 这 个 证 书 是 一 张 CA， 密 钥 用 法 ( keyUsage ) 








扩展 用 来 说 明 这 个 CA 的 用 处 : 
[req] 


default bits = 4096 

encrypt_ key = yes 

default md = Sha256 

utf8 = yes 

string mask = Utf8only 

prompt = No 

distinguished name = Ca_dn 
req_extensions = Ca_ ext 

[ca_ext] 

basicConstraints = critical,CA:true 
keyUsage = critical,keyCertSign, cRLSign 
subjectKkeyIdentifier = hash 














E 
TH 














展 的 设置 ， 所 有 的 证 书 都 将 成 为 CA ， 但 是 我 们 
新 的 CA 了 。 





要 把 








配置 的 第 四 部 分 包括 了 根 CA 创建 证 书 所 需要 的 信息 。 因 为 基本 限制 (basicContraints ) 扩 
pathlen 设 置 为 0， 表 示 这 些 CA 无 法 再 签发 


Wr 





所 有 二 级 CA 都 会 受到 限制 ， 也 就 是 说 他 们 签发 的 证 书 只 能 对 一 些 域 名 的 子 集 有 效 ， 并 且 会 
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被 限制 使 用 场景 。 第 一 ， 扩 展 密 钥 用 法 ( extendedKeyUsage ) 扩展 限制 了 只 能 进行 客户 端 验 证 
(clientAuth ) 和 服务 器 验证 (serverAuth )， 也 就 是 TLS 的 客户 端 和 服务 器 验证 。 第 二 ， 名 称 限 








制 (nameContraints ) 扩展 限制 了 允许 签发 的 域名 只 有 example.com 和 example.org。 到 


LE 论 上 这 样 的 





设置 让 你 可 以 签发 二 级 CA 给 第 三 方 ， 同 时 可 以 通过 限制 他 们 无 法 签发 任意 域名 的 主机 名 来 保证 
安全 。 排除 这 两 个 IP 段 的 要 求 来 自 CAB 论 坛 的 Baseline Requirements, 该 规范 从 技术 上 定义 了 对 二 





级 CA 的 限制 。” 


实际 上 ， 名 称 限制 (nameContraints ) 并 不 完美 ， 因 为 当前 还 有 很 多 主流 的 平台 无 法 识别 名 
称 限制 扩展 。 如 果 你 将 这 个 扩展 标记 为 关键 扩展 ,就 会 导致 很 多 平台 拒绝 识别 你 的 证 书 。 如 果 不 











将 其 标记 为 关键 扩展 ， 那 么 很 多 平台 就 不 会 识别 这 个 扩展 ， 导 致 名 称 限制 实际 没有 任何 效果 。 





sub_ ca ext 
authorityInfoAccess 
authorityKeyIdentifier 


@issuer info 
keyid:always 








basicConstraints = Critical,CA:true,pathlen:0 
crlDistributionPpoints = Qcrl] info 

extendedKeyUsage = ClientAuth, serverAuth 
eyUsage = critical,keyCertSign, cRLSign 
nameConstraints = @name constraints 
subjectKeyIdentifier = hash 

crl info] 

URI.O = $crl] url 

issuer info] 

calssuers;URI.0 = $aia url 
OCSP;URI.0 = $ocsp_url 
name_constraints] 





permitted;DNS.0=example.com 
permitted;DNS.1=example.org 
excluded;IP.0=0.0.0.0/0.0.0.0 
excluded;IP.1=0:0:0:0:0:0:0:0/0:0:0:0:0:0:0:0 











最 后 两 部 分 的 配置 表示 有 了 这 个 扩展 的 证 书 可 以 对 OCSP 响 应 进行 签名 。 为 了 能 够 运行 OCSP 
响应 程序 ， 我 们 生成 一 个 特别 的 证 书 ， 并 且 将 OCSP 的 签名 能 力 赋予 这 张 证 书 。 从 扩展 可 以 看 出 











这 张 证 书 不 是 一 个 CA: 


[ocsp_ext] 

authorityKeyIdentifier = keyid:always 
basicConstraints = critical,CA:false 
extendedKeyUsage = OCSPSigning 

keyUsage = Critical, digitalSignature 
subjectKeyIdentifier = hash 


2. 根 CA 的 目录 结构 


下 面 我 们 会 创建 “ 根 CA 配 置 ”中 说 到 的 目录 结构 ， 并 且 会 初始 化 一 些 CA 操 作 中 会 用 到 的 








QD Baseline Requirements ,https://cabforum.org/baseline-requirements/( CAB 论 坛 ， 检 索 于 2014 年 7 月 9 日 )。 





304 第 11 章 ”OpenSSL 





文件 。 


$ mkdir root-ca 

$ cd root-ca 

$ mkdir certs db private 

$ chmod 700 private 

$ touch db/index 

$ openssl rand -hex 16 > db/serial 
$ echo 1001 > db/crlnumber 





我 们 会 用 到 以 下 这 几 个 目录 。 
口 certs/ 

存放 证 书 的 地 方 ; 证 书 在 签名 之 后 会 放置 到 这 个 目录 下 。 
口 db/ 





这 个 目录 用 于 证 书 数 据 库 (index )， 一 些 包括 下 一 张 证 书 以 及 CRL 数 字 的 文件 。OpenSSL 
会 创建 额外 需要 的 一 些 文件 。 

口 private/ 
这 个 目录 会 存放 私 钥 , 一 个 给 CA 使 用 , 一 个 给 OCSP 响 应 程序 使 用 。 务必 确保 其 他 用 户 都 
不 能 访问 这 个 目录 (事实 上 ， 如 果 你 真 的 很 在 意 这 个 CA， 那 么 这 台 存 放 根 证 书 和 密 钥 的 
服务 器 的 用 户 账户 必须 尽 可 能 少 )。 


注意 
创建 一 个 新 的 CA 证 书 的 时 候 ， 就 像 本 节 我 所 做 的 这 样 ， 很 重要 的 一 点 是 使 用 随机 数 
生成 器 来 初始 化 证 书 序列 号 。 当 你 使 用 同样 的 名 称 创建 和 发 布 多 个 CA 证 书 的 时 候 会 
非常 有 用 (另外 ， 常 见 的 情况 是 你 在 生成 证 书 的 过 程 中 出 错 了 而 不 得 不 重新 来 过 ); 
通过 这 样 的 方式 可 以 让 每 个 证 书 拥有 不 一 样 的 序列 号 ， 这 样 就 不 会 互相 冲突 了 。 

3. 根 CA 生成 

我 们 需要 分 两 步 来 创建 根 CA。 首 先 ， 我 们 生成 密 钥 和 CSR 文 件 。 当 我 们 使 用 -config 开 关 之 
































后 ， 所 有 需要 的 信息 都 会 从 配置 文件 中 加 载 进来 : 
$ openssl] req -new \ 
-config root-ca.conf \ 
-Out root-ca.csr \ 
-keyout private/root-ca.key 
第 二 步 我 们 会 创建 自 签名 证 书 。-extension 开 关 指向 了 配置 文件 的 ca_ext 部 分 ， 这 样 可 以 激 
活 根 CA 所 需 的 扩展 。 





$ openssl ca -selfsign \ 
-config root-ca.conf \ 
-in root-ca.csr \ 
-Out root-ca.crt \ 
-extensions ca ext 


4. 数据 库 文件 结构 
db/index 中 的 数据 库 是 一 个 包含 证 书信 息 的 明文 文件 ， 每 行 一 个 证 书 。 我 们 刚刚 创建 根 CA， 
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现在 这 个 文件 只 有 一 行 信息 : 
V 2407061153452 1001 unknown /C=GB/O0=Example/CN=Root CA 
每 一 行 包括 以 下 6 个 以 制 表 符 分 隔 的 值 。 
(1) 状态 标记 [Vv 表示 有 效 ( valid )，R 表 示 已 吊销 (revoked )，E 表 示 已 过 期 ( expired ) |] 
(2) 过 期 时 间 ( 以 YYMMDDHHMMSSZ 格 式 表示 ) 
(3) 吊销 日 期 ， 如 果 没 有 被 吊销 则 为 空 
(4) 序列 号 (十 六 进 制 ) 
(5) 文件 路 径 ( 如果 不 知道 就 显示 unknown ) 
(6) 可 分 辨 名 称 


5. 根 CA 操作 
使 用 ca 命令 的 -gencrl 开 关 给 新 CA 生成 CRL: 


$ openssl ca -gencrl \ 
-config root-ca.conf \ 
-Out root-ca.crl 


使 用 ca 的 的 命令 来 签发 证 书 。 需 要 注意 的 是 -extensions 开 关 需 要 指向 配置 文件 里 面 正确 的 

部 分 ( 例如， 你 肯定 不 希望 再 生成 男 一 个 根 CA )。 

$ openssl ca \ 
-config root-ca.conf \ 
-in sub-ca.csr \ 


-out sub-ca.crt \ 
-extensions sub_ca ext 


如 果 要 吊销 证 书 ， 可 以 使 用 ca 命令 的 -revoke 开 关 ， 不 过 需要 有 一 份 你 想 吊销 的 证 书 的 副本 。 
不 过 因为 所 有 的 证 书 都 存在 certs/ 目 录 下 , 所 以 只 需要 知道 序列 号 即 可 。 如 果 知 道 证 书 的 可 分 辨 名 
称 ， 就 可 以 在 数据 库 里 面 查 到 它 的 序列 号 了 。 

为 -crl_reason 开 关中 的 值 选择 一 个 正确 的 理由 。 该 值 可 以 是 以 下 这 些 值 之 一 : unspecified、 


keyCompromise 、 CACompromise 、 affiliationChanged 、 superseded 、cessation0fOperation 、 





















































certificateHold 和 removeFromCRL。 


$ openssl ca \ 
-config root-ca.conf \ 
-revoke certs/1002.pem \ 
-crl] reason keyCompromise 


6. 创建 用 于 OCSP 签 名 的 证 书 
首先 我 们 需要 给 OCSP 响 应 程序 创建 一 个 私 钥 和 CSR。 这 两 个 操作 对 所 有 的 非 CA 证 书 都 适 
用 ， 所 以 不 需要 指定 配置 文件 : 
$ openssl req -new \ 
-newkey rsa:2048 \ 
-subj "/C=CGB/0=Example/CN=OCSP Root Responder" \ 


-keyout private/root-ocsp.key \ 
-Out root-ocsp.csr 
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第 二 步 需 要 使 用 根 CA 签发 一 张 证 书 。-extensions 开 关 的 值 选择 ocsp_ext ， 以 确保 设置 了 
OCSP 签 名 所 需要 的 扩展 。 我 将 这 个 证 书 的 生命 周期 减少 为 365 天 ( 原来 默认 是 3650 天 ) 这 些 OCSP 
证 书 是 没有 吊销 信息 的 ， 所 以 无 法 吊销 它们 。 因 此 你 会 希望 尽 可 能 减少 它们 的 生命 周期 。30 天 是 
一 个 比较 好 的 选择 ， 当 然 前 提 是 你 已 经 准备 好 频繁 地 创建 新 的 OCSP 证 书 。 

$ openssl ca \ 

-config root-ca.conf \ 
-in root-ocsp.csr \ 
-Out root-ocsp.crt \ 


-extensions ocsp ext \ 
-days 30 















































现在 你 已 经 有 了 OCSP 响 应 程序 所 需要 的 一 切 东 西 , 可 以 直接 在 根 CA 所 在 的 服务 器 上 进行 测 








试 。 当 然 ， 如 果 在 生产 环境 中 使 用 ， 就 必须 将 OCSP 响 应 程序 的 密 钥 和 证 书 放 到 别 的 地 方 : 
$ openssl ocsp \ 
-port 9080 


-index db/index \ 

-rsigner root-ocsp.crt \ 
-rkey private/root-ocsp.key \ 
-CA root-ca.crt \ 

-text 


可 以 使 用 下 面 的 命令 来 测试 OCSP 响 应 程序 : 


$ openss1 ocsp \ 
-issuer root-ca.crt \ 
-CAfile root-ca.crt \ 
-Cert root-ocsp.crt \ 
-url http://127.0.0.1:9080 


输出 结果 中 的 verify OK 表示 已 经 成 功 验证 签名 ， 而 good 表 示 这 张 证 书 还 没有 被 吊销 。 


Response verify OK 
root-ocsp.crt: good 
This Update: Jul 9 18:45:34 2014 CMT 








11.4.3 ”创建 二 级 CA 


创建 二 级 CA 的 过 程 和 根 CA 几 乎 完全 一 样 。 本 节 我 会 突出 那些 不 同 之 处 ， 其 他 部 分 可 以 参考 
11.4.2 节 。 


. 二 级 CA 配置 
我 们 可 以 在 前 面 根 CA 配置 文件 的 基础 上 ， 进 行 一 些 适当 的 修改 生成 二 级 CA 的 配置 。 我 们 会 
把 名 称 改 为 sub-ca 并 且 使 用 另 一 个 可 分 辨 名 称 。 我 们 将 二 级 CA 的 OCSP 响 应 程序 放 在 另外 一 个 端 
口 ， 主 要 是 因为 ocsp 命 令 不 识别 虚拟 主机 。 如 果 为 OCSP 响 应 程序 使 用 了 适合 的 Web 服 务 器 ， 就 
可 以 完全 避免 使 用 特别 的 端口 。 该 证 书 默 认 的 生命 周期 是 365 天 ， 我 们 会 每 隔 30 天 生成 全 新 的 
CRL。 
将 copy_extensions 更 改 为 copy 意 味 着 在 生成 新 证 书 的 时 候 , 如 果 我 们 的 配置 文件 里 面 没 有 设 
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置 某 些 扩展 ,那么 就 会 使 用 CSR 文 件 里 面 的 扩展 字段 。 进 行 此 更 改 之 后 ,在 准备 CSR 文 件 的 时 候 
就 可 以 加 入 别 的 一 些 需要 的 字段 , 这 些 信息 会 在 生成 证 书 的 时 候 加 入 到 证 书 里 面 。 这 个 特性 有 几 
分 危险 ( 因为 允许 其 他 人 可 以 在 一 定 程度 上 直接 控制 证 书 里 面 的 内 容 )， 不 过 我 认为 在 较 小 的 环 
境 中 这 么 做 是 可 以 的 。 























[default] 

name = Sub-ca 

ocsp_url = http://ocsp. $name.$domain suffix:9081 
[ca_dn 

countryName = "GB" 

organizationName = "Example" 

commonName = "Sub CA" 

[ca_default] 

default days = 365 

default crl days = 30 

copy_extensions = Copy 

在 配置 文件 的 最 后 面 , 我 们 会 增加 两 个 新 的 配置 ， 分 别 用 于 服务 器 和 客户 端 证 书 的 生成 。 唯 



































一 的 区 别 就 是 keyUsage 和 extendedKeyUsage 扩 展 。 注 意 到 我 们 把 basicContraints 扩 展 的 值 设置 为 
false。 之 所 以 这 么 做 ， 原因 在 于 我 们 会 复制 CSR 文 件 里 面 的 扩展 。 如 果 在 配置 文件 中 没有 显示 
设置 这 个 扩展 ， 那 么 就 可 能 会 用 到 CSR 文 件 中 的 basicContraints 了 。 

[server ext] 


authorityInfoAccess 
authorityKeyIdentifier 














@issuer info 
keyid:always 


basicConstraints = critical,CA:false 

crlDistributionPoints = @crl info 

extendedKeyUsage = ClientAuth,serverAuth 

keyUsage = critical, digitalSignature, keyEncipherment 


hash 





subjectKeyIdentifier 





[client ext 
authorityInfoAccess 
authorityKeyIdentifier 


Q@issuer info 
keyid:always 





basicConstraints = critical,CA:false 
crlDistributionPpoints = @crl] info 
extendedKeyUsage = ClientAuth 

keyUsage = critical, digitalSignature 
subjectKeyIdentifier = hash 








改 好 配置 文件 之 后 ， 按 照 根 CA 的 过 程 创建 一 个 同样 的 目录 结构 ， 不 过 可 以 使 用 男 外 一 个 名 
称 ， 比 如 sub-ca。 

2. 二 级 CA 生成 

与 前 面 一 样 ， 创 建 二 级 CA 需要 两 步 。 第 一 步 生 成 密 钥 和 CSR。 当 我 们 使 用 -config 开 关 的 时 
候 ， 所 有 需要 的 信息 都 会 从 配置 文件 中 加 载 进 来 。 


$ openssl req -new \ 
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-config sub-ca.conf \ 
-Out sub-ca.csr \ 
-keyout private/sub-ca.key 


第 二 步 我 们 使 用 根 CA 来 签发 证 书 。-extensions 开 关 指 向 配置 文件 中 的 sub ca_ext， 从 而 使 
用 二 级 CA 所 需要 的 扩展 。 


$ openssl ca \ 
-config root-ca.conf \ 
-in sub-ca.csr \ 
-Out sub-ca.crt \ 
-extensions sub ca ext 





3. 二 级 CA 操作 
要 签发 服务 右 证 书 ， 可 以 在 处 理 CSR 文 件 的 时 候 ， 在 -extensions 开 关中 指定 server_ext: 


$ openssl ca \ 
-config sub-ca.conf \ 
-in server.csr \ 
-Out server.crt \ 
-extensions server ext 


要 签发 客户 端 证 书 ， 可 以 在 处 理 CSR 文 件 的 时 候 ， 在 -extensions 开 关中 指定 client_ext: 


$ openssl ca \ 
-config sub-ca.conf \ 
-in client.csr \ 
-Out client.crt \ 
-extensions client ext 


注意 

当 收 到 新 证 书 申 请 请 求 的 时 候 , 你 需要 在 对 所 有 信息 进行 验证 之 后 才能 进行 操作 。 你 
需要 确保 所 有 资料 符合 规定 ,特别 是 当 你 处 理 的 CSR 文 件 是 别人 生成 的 时 。 特别 要 注 
意 证 书 的 可 分 辨 名 称 以 及 basicContraints 和 subjectAlternativeName 扩 展 。 














二 级 CA 的 CRL 生 成 和 证 书 的 吊销 过 程 与 根 CA 是 一 样 的 。 唯 一 不 同 的 是 OCSP 响 应 程序 所 使 
用 的 端口 ; 二 级 CA 使 用 的 是 9081 端 口 。 推 荐 OCSP 响 应 程序 使 用 独立 的 证 书 ， 这 样 可 以 避免 将 二 
级 CA 部 署 到 公开 的 服务 器 上 。 











使 用 OpenSSL 进 行 测试 








为 有 大 量 的 协议 特性 和 实现 上 的 一 些 怪癖 , 所 以 有 时 候 很 难 确 定安 全 服务 器 精确 的 配置 和 
特性 是 什么 。 虽 然 现 在 有 很 多 工具 都 适用 于 这 个 问题 , 但 是 很 难 知 道 它 们 是 如 何 实现 的 ， 有 时 候 
很 难 完全 信任 它们 的 结果 。 尽 管 我 花 了 很 多 年 的 时 间 测 试 安全 服务 器 ， 也 看 到 了 很 多 好 的 工具 ， 
但 是 当 我 想 要 理解 细节 的 时 候 , 又 会 回归 到 使 用 OpenSSL 和 Wireshark。 我 并 不 是 说 每 次 测试 都 应 
该 使 用 OpenSSL; 相反 ， 应 该 找到 一 种 可 信赖 的 自动 化 工具 。 在 真 的 想 要 确定 某 些 事情 的 时 候 ， 
唯一 的 方式 就 是 亲自 使 用 OpenSSL 去 测试 。 



















































































12.1 连接 SSL 服务 


OpenSSL 自 带 的 客户 端 工具 可 以 用 来 连接 安全 服务 器 。 这 个 工具 很 像 telnet 或 者 nc， 严 格 来 
说 是 处 理 SSL/TLS 协 议 层 ,但 是 允许 你 完全 控制 其 之 上 的 协议 层 。 

你 需要 提供 主机 名 和 端口 来 连接 服务 器 ， 例 如 : 

$ openssl s client -connect www.feistyduck.com:443 

一 旦 输入 这 个 命令 ， 就 会 看 到 很 多 诊断 输出 稍 后 详细 解释 )， 然 后 你 就 有 机 会 输入 任何 你 
需要 的 命令 。 因 为 我 们 访问 的 是 一 台 HTTP 服 务 器 ,所 以 最 明智 的 做 法 是 提交 一 个 HTTP 请 求 。 下 
面 的 例子 中 ， 我 提交 一 个 HEAD 请 求 ， 因 为 它 告诉 服务 器 不 需要 发 送 响应 体 。 


HEAD / HTTP/1.0 
Host: www.feistyduck.com 









































HTTP/1.1 200 OK 

Date: Tue, 10 Mar 2015 17:13:23 GMT 

Server: Apache 

Strict-Transport-Security: max-age=31536000 

Cache-control: no-cache, must-revalidate 

Content-Type: text/html;charset=UTF-8 

Transfer-Encoding: chunked 

Set-Cookie: JSESSIONID=7F3D840B9C2FDB1FF7E5731590BD9C99; Path=/; Secure; HttpOnly 
Connection: close 


read:errno=0 


现在 我 们 知道 TLS 通 信 层 在 工作 了 : 我 们 连 上 了 HTTP 服 务 器 ， 提 交 了 请 求 ， 然 后 收 到 了 响 
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应 。 让 我 们 回 到 诊断 输出 ， 最 开始 的 几 行 显示 的 是 服务 器 的 证 书信 息 。 


CONNECTED(00000003 ) 

depth=3 L = ValiCert Validation Network，0 = "ValiCert, Inc.", OU = ValiCert Class © 
2 Policy Validation Authority, CN = http://www.valicert.com/, emailAddress = © 
info@valicert.com 

verify error:num=19:self signed certificate in certificate chain 

verify return:0 


在 我 的 系统 上 ( 你 的 系统 也 许 也 一 样 )，s_client 不 会 寻找 系统 默认 的 可 信 证 书 ， 它 会 提示 
在 证 书 链 中 存在 自 签名 证 书 。 在 大 多 数 情 况 下 不 用 关注 证 书 是 否 有 效 , 但 是 如 果 有 必要 的 话 ， 可 











以 让 s_client 指 定 可 信 根 证 书 ， 例 如 : 


$ openssl s client -connect www.feistyduck.com:443 -CAfile /etc/ssl/certs/ca-certificates.crt 
CONNECTED(00000003) 

depth=3 L = ValiCert Validation Network, 0 = "ValiCert, Inc.", OU = ValiCert Class 2 > Policy © 
Validation Authority, CN = http://www.valicert.com/, emailAddress = info@valicert.com 

verify return: 


depth=2 C = US, 0 = "Starfield Technologies, Inc.", OU = Starfield Class 2 Certification Authority 


verify return: 
depth=1 C = US, ST = Arizona, L = Scottsdale, 0 = "Starfield Technologies, Inc.", OU = http://© 
certificates.starfieldtech.com/repository, CN = Starfield Secure Certification © 

Authority, serialNumber = 10688435 

verify return: 
depth=0 1.3.6.1.4.1.311.60.2.1.3 = CGB, businessCategory = Private Organization, serialNumber =© 
06694169, C = CGB, ST = London, L = London, 0 = Feisty Duck Ltd, CN = www.feistyduck.com 

verify return: 














与 之 前 提示 的 不 一 样 ， 现 在 你 可 以 看 到 它 验 证 了 证 书 链 上 每 一 级 的 证 书 。 为 了 验证 通过 , 你 
必须 选择 好 CA 证 书 路 径 。 我 在 例子 中 使 用 的 路 径 ( /etc/ssl/certs/ca- certificates.crt ) 在 Ubuntu 12.04 
LTS 上 是 有 效 的 , 但 并 不 代表 在 你 的 系统 上 也 是 如 此 。 如 果 不 想 使 用 系统 提供 的 CA 证 书 来 进行 验 




















证 ， 可 以 依赖 由 Mozilla 提 供 的 证 书 ， 我 们 曾经 在 11.1.4 节 中 讨论 过 这 些 证 书 。 
警告 
Apple 的 操作 系统 OS X 随 机 附带 的 OpenSSL 经 过 修改 ， 有 时 候 会 覆盖 证 书 校 验 过 程 。 
换 句 话说 ，-CAfile 开 关 可 能 无 法 如 我 们 期 望 的 那样 工作 。 可 以 通过 在 调用 5_client 
命令 之 前 设置 OPENSSL X509 TEA_DISABLE 环 境 变量 来 解决 这 个 问题 .0 考虑 到 OSX 上 默 
认 使 用 的 OpenSSL 还 是 基于 非常 陈旧 的 0.9.x 分 支 ， 所 以 最 好 还 是 升级 到 最 新 的 版 本 ， 
可 以 使 用 Homebrew 或 者 MacPorts 进 行 安装 。 


输出 中 的 下 一 部 分 按照 服务 器 交付 的 顺序 罗列 了 所 有 证 书 。 


Certificate chain 

0 s:/1.3.6.1.4.1.311.60.2.1.3=GB/businessCategory=Private Organization/serialNumber=06694169< 

/C=GB/ST=London/L=London/O0=Feisty Duck Ltd/CN=www.feistyduck.com © 
i:/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./OU=http://certificates. © 





QD Apple OpenSSL Verification Surprises, https://hynek.me/articles/apple-openssl-verification-surprises/( Hynek Schlawack, 


2014 年 3 月 3 日 )。 
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starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 
1 s:/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./OU=http://certificates. © 
starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 
i:/C=US/0=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority 
2 s:/C=US/0=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority 
i:/L=ValiCert Validation Network/0=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation © 
Authority/CN=http://www.valicert.com//emailAddress=info@valicert.col 
3 s:/L=ValiCert Validation Network/0=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation © 
Authority/CN=http://www.valicert.com//emailAddress=info@valicert.col 
i:/L=ValiCert Validation Network/0=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation © 
Authority/CN=http://www.valicert.com//emailAddress=info@valicert.col 


每 一 张 证 书 都 会 在 第 一 行 显示 使 用 者 信息 ， 第 二 行 显示 颁发 者 信息 。 

这 部 分 很 重要 , 特别 是 当 你 需要 看 看 到 底 发 送 了 什么 证 书 的 时 候 ; 浏览 器 证 书 查看 器 一 般 都 
会 显示 重建 的 证 书 链 , 可 能 与 上 面 呈 现 的 会 完全 不 一 样 。 为 了 确定 证 书 链 是 否 正 确 , 你 可 能 会 希 
望 验证 使 用 者 和 颁发 者 信息 是 否 匹 配 。 从 最 上 面 的 分 坟 (Web 服务 器 ) 证 书 开始 , 逐 级 遍历 列表 ， 
看 看 当前 证 书 的 颁发 者 与 从 属 证 书 的 使 用 者 是 否 匹 配 。 最 后 你 看 到 的 颁发 者 指向 了 某 个 不 在 证 书 
链 里 面 的 根 证 书 ; 或 者 是 一 个 自己 指向 自己 的 根 证 书 。 

下 一 个 输出 的 是 服务 名 证 书 ; 它 非 常 长 ， 为 了 更 好 地 呈现 ， 我 进行 了 简化 : 


Server certificate 
























































F 


本 











MITF5zCCBM+gAwIBAgIHBCG9JXlv9vTANBgkqhkiCG9wOBAQUFADCB3DELMAKkGA1UE 

[30 lines removed...] 

os5LW3PhHz8y9YFep2SV4c7+Nr1ZISHOZVZzN 

----- END CERTIFICATE----- 

subject=/1.3.6.1.4.1.311.60.2.1.3=GB/businessCategory=Private Organization /serialNumber=06694169 他 
/C =GB/ST=London/L=London/O0=Feisty Duck Ltd/CN=www.feistyduck.com 
issuer=/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./OU=http://certificates. © 
starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 


注意 

任何 时 候 当 你 在 主题 栏 看 到 很 长 一 串 数 字 而 不 是 一 个 名 称 的 时 候 , 意味 着 OpenSSL 并 
不 认识 这 个 对 象 标识 符 。 对 象 标 识 符 是 全 球 唯一 而 且 是 用 来 清楚 指向 某 些 东西 的 标识 
符 。 例 如 在 前 面 的 输出 中 ，OID 1.3.6.1.4.1.311.60.2.1.3 应 该 显示 成 jurisdiction- 
OfIncorporationCountryName， 这 个 OID 用 于 扩展 验证 证 书 。 


如 果 想 深入 了 解 证 书 ,， 就 需要 先 从 输出 内 容 中 复制 一 份 并 保存 在 单独 的 文件 中 ， 我 会 在 12.2 


节 中 具体 讨论 。 
下 面 的 信息 是 关于 TLS 连 接 的 ， 意 思 从 字面 上 就 可 以 很 容易 理解 了 : 











No client certificate CA names sent 


SSL handshake has read 3043 bytes and written 375 bytes 


New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA 
Server public key is 2048 bit 





312 第 12 章 使 用 OpenSSL 进行 测试 





Secure Renegotiation IS supported 
Compression: NONE 
Expansion: NONE 


SSL-Session: 
Protocol : TLSv1.1 
Cipher : ECDHE-RSA-AES256-SHA 


Session-ID: 032554E059DB27BF8CD87EBC53E9FF29376265FOBBFDBBFB7773D2277E5559F5 
Session-ID-ctx: 

Master-Key: 1A55823368DB6EFC397DEE2DC3382B5BB416A061C19CEE162362158E90F1FB0846EEFDB 人 
2CCF564A18764F1A98F79A768 

Key-Arg : None 

PSK identity: None 

PSK identity hint: None 

SRP username: None 

TLS session ticket lifetime hint: 300 (seconds) 

TLS session ticket: 











0000 - 77 c3 47 09 c4 45 e4 65-90 25 8b fd 77 4c 12 da Ww.G..E.e.%..wL.. 
0010 - 38 fo 43 09 08 al ec fo-8d 86 f8 b1 fo 7e 4b a9 8.C.......... SK 
0020 - fe 9f 14 8e 66 d7 5a dc-0of dO Oc 25 fc 99 b8 aa ....f.Z....%.... 
0030 - 8f 93 56 5a ac cd f8 66-ac 94 00 8b d1 02 63 91 ..VZ...f...... og 
0040 - 05 47 af 98 11 81 65 d9-48 5b 44 bb 41 d8 24 e8 .G....e.H[D.A.$. 
0050 - 2e 08 2d bb 25 59 fo 8f-bf aa 5c b6 fa 9c 12 a6 ..-.X%Y... 疏 ..... 
0060 - a1l 66 3f 84 2c f6 Of 06-51 cO 64 24 7a 9a 48 96 .f?.,...0.d$z.H. 
0070 - a7 f6 a9 6e 94 f2 71 10-ff 00 4d 7a 97 e3 f5 8b ...n..q...Mz.... 
0080 - 2d 1a 19 9c 1a 8d e0 9c-e5 55 cd be d7 24 2e 24 -........ U...$.$ 
0090 - fc 59 54 bo f8 f1 0a 5f-03 08 52 0d 90 99 c4 78 .YT.... .. Ra 


00a0 - d2 93 61 d8 eb 76 15 27-03 5e a4 db Oc 05 bb 51 ..a..V..^....，. 
O00bo - 6c 65 76 9b 4e 6b 6c 19-69 33 2a bd 02 1f 71 14 lev.Nkl.i3*...q. 


IO 


Start Time: 1390553737 
Timeout ©: 300 (sec) 
Verify return code: 0 (ok) 


最 重要 的 信息 是 协议 版 本 (TLS 1.1 ) 和 使 用 的 密码 套件 ( ECDHE-RSA-AES256-SHA )。 另 外 还 能 
发 现 服务 器 返回 了 一 个 会 话 ID 和 TLS 会 话 票 证 (一 种 在 非 服务 器 维护 状态 下 即 可 恢复 会 话 的 方 
式 ), 而 且 也 支持 安全 重新 协商 ,一 旦 理解 了 这 些 输出 内 容 所 包含 的 信息 , 以 后 就 无 需 再 关注 它 了 。 

警告 

操作 系统 发 行 版 常常 自 带 工具 并 且 与 普通 版 本 都 有 所 差别 。 这 里 还 有 另外 一 个 例子 : 
前 面 一 个 命令 协商 了 TLS 1.1， 即 便服 务 器 支持 TLS 1.2， 为 什么 ? 原来 是 这 样 的 ， 
Ubuntu 12.04TLS 附 带 的 某 些 OpenSSL 版 本 禁用 了 TLS 1.2 作 为 客户 端 连接 ， 为 的 是 避 
免 某 些 互 操作 性 问题 。 为 了 避免 这 类 问题 ， 我 建议 你 使 用 之 前 配置 和 编译 过 的 
OpenSSL 版 本 。 



































12.2 ”测试 升级 到 SSL 的 协议 
当 使 用 HTTP 的 时 候 ，TLS 将 整个 明文 通讯 通道 包 起 来 成 为 HTITPS。 其 他 一 些 协议 开始 是 明 
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文 ， 然 后 升级 到 加 密 模 式 。 如 果 想 要 测试 这 类 协议 ， 那 么 就 需要 告诉 OpenSSL 是 什么 协议 ， 这 样 
OpenSSL 就 能 够 代表 你 进行 升级 。 在 -startss1 开 关 后 面 带 上 协议 信息 。 例 如 ; 
$ openssl s client -connect gmail-smtp-in.l1.google.com:25 -starttls smtp 


在 撰写 本 书 的 时 候 ，OpenSSL 文 持 smtp、pop3、imap、ftp 和 xmpp。 


12.3 ”使 用 不 同 的 握手 格式 


有 时 用 OpenSSL 测 试 服务 器 的 时 候 ， 即 便 你 知道 服务 器 支持 TLS ( 例如， 使 用 浏览 器 访问 的 
时 候 TLS 可 以 正常 工作 )， 你 对 服务 器 的 通信 也 可 能 会 失败 。 其 中 一 个 可 能 的 因素 是 服务 器 不 文 
持 老 版 本 的 SSL 2 握手 。 

为 OpenSSL 会 尝试 使 用 它 理解 的 所 有 协议 去 进行 协商 ， 而 且 SSL 2 默认 情况 下 只 能 用 老 的 
SSL 2 握手 去 进行 协商 。 虽 然 这 是 个 非常 古老 而 且 不 安全 的 协议 版 本 ， 但 是 从 技术 上 来 说 老 的 握 
手 过程 并 不 是 不 安全 的 。 它 支持 版 本 升级 ， 也 就 是 说 可 以 协商 更 好 的 协议 。 然 而 SSL 2 的 握手 格 
式 不 支持 其 后 设计 的 许多 连接 协商 特性 。 

因此 ， 如 果 遇 到 了 无 法 正常 工作 的 情况 ， 而 且 无 法 准确 判断 是 什么 的 话 ， 可 以 强制 OpenSSL 
使 用 更 新 的 握手 格式 。 可 以 通过 禁用 SSL 2 来 实现 : 

$ openssl s client -connect www.feistyduck.com:443 -no _ SSs12 

另外 一 种 实现 同样 效果 的 方式 是 在 命令 行 上 指明 要 访问 的 主机 名 : 

$ openssl s client -connect www.feistyduck.com:443 -servername www.feistyduck.com 

为 了 指明 主机 名 ,OpenSSL 需 要 使 用 一 种 更 新 的 握手 协议 里 面 的 特性 ( 该 特性 叫 作 服 务 器 名 
称 指示 ，server name indication 或 SNI )， 该 特性 会 强制 废弃 老 的 格式 。 


12.4 提取 远程 证 书 

当 使 用 s_client 连 接 远 程 安 全 服务 器 的 时 候 , 它 会 将 服务 器 的 PEM 编 码 格式 证 书 转 储 到 标准 
和 输出。 如果 需要 证 书 的 话 ， 那 么 可 以 从 回 滚 (scroll-back ) 绥 冲 区 里 面 复 制 出 来 。 如 果 提 前 知道 
你 只 需要 获得 证 书 的 话 ， 那 么 可 以 使 用 下 面 这 个 命令 : 


$ echo | openssl s client -connect www.feistyduck.com:443 2>81 | sed --quiet '/-BEGIN © 
CERTIFICATE-/,/-END CERTIFICATE-/p' > www.feistyduck.com.crt 


最 前 面 的 echo 命 令 的 目的 是 将 shell 命 令 和 s_client 分 开 。 如 果 不 用 echo 的 话 ， 那 么 s_client 
会 一 直 等 待 你 的 输入 ， 直 到 服务 器 超时 可 能 需要 很 长 一 段 时 间 )。 

默认 情况 下 s_client 只 打印 分 支 证 书 ; 如 果 希 望 打印 完整 的 证 书 链 , 请 使 用 -showcerts 开 关 。 
使 用 了 这 个 开关 ， 前 面 这 条 命令 会 将 所 有 的 证 书 输出 到 同一 个 文件 里 面 。 























































































































314 第 12 章 使 用 OpenSSL 进行 测试 





12.5 ”测试 支持 的 协议 


默认 情况 下 s_client 会 尝试 使 用 最 高 级 的 协议 和 远程 服务 器 进行 通信 , 并且 在 输出 内 容 里 面 





报告 协商 的 版 本 信息 。 





Protocol : TLSv1.1 


有 两 种 方式 可 以 测试 服务 器 是 否 某 些 版 本 的 协议 。 第 一 种 是 在 -ss12、-ss13、-tls1、-tls1 1 





























或 者 是 -tls1 2 开关 中 明确 地 选择 一 个 协议 进行 测试 。 0 ssl2、-no_ ssl13、 
-no tls1、-no tls1 1 或 者 -no_tls1 2 中 选择 一 个 或 者 多 个 你 不 想 要 进行 测试 的 协议 。 





注意 
不 是 所 有 的 OpenSSL 都 支持 所 有 版 本 的 协议 。 例 如 , 老 版 本 的 OpenSSL 不 支持 TLS 1.1 
和 TLS 1.2， 而 新 版 本 则 可 能 不 支持 老 的 SSL 2 之 类 的 协议 。 
例如 ， 当 测试 服务 器 不 支持 某 个 协议 版 本 的 时 候 可 能 会 得 到 下 面 这 些 输出 信息 : 
$ openssl s client -connect www.example.com:443 -tls1 2 CONNECTED(00000003 ) 


140455015261856:error:1408F10B:SSL routines:SSL3 GET RECORD:wrong version number:s3 pkt.c:340: 





no peer certificate available 


No client certificate CA names sent 


SSL handshake has read 5 bytes and written 7 bytes 


New, (NONE), Cipher is (NONE) 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
SSL-Session: 
Protocol : TLSv1.2 
Cipher : 0000 
Session-ID: 
Session-ID-ctx: 
Master-Key: 
Key-Arg  : None 
PSK identity: None 
PSK identity hint: None 
SRP username: None 
Start Time: 1339231204 
Timeout  : 7200 (sec) 
Verify return code: 0 (ok) 


12.6 测试 支持 的 密码 套件 


如 果 你 想 要 用 OpenSSL 去 确定 远程 服务 右 是 否 支 持 某 个 特殊 密码 套件 ， 这 里 有 一 个 小 技巧 。 
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加 密 配 置 字符 串 的 设计 是 为 了 选择 你 想 要 使 用 的 套件 , 所 以 如 果 只 指定 一 个 套件 并 且 与 服务 顺 握 
手 成 功 ， 那 么 就 可 以 确定 服务 器 支持 这 个 套件 。 如 果 握 手 失 败 了 ， 你 就 知道 它 并 不 支持 。 

我 们 以 一 个 例子 来 测试 一 下 服务 器 是 否 支 持 RC4-SHA 算 法 ， 键 入 以 下 命令 : 

$ openssl s client -connect www.feistyduck.com:443 -cipher RC4-SHA 

如 果 想 确定 特定 服务 右 支 持 的 所 有 算法 套件 ， 可 以 通过 调用 openssl cipehrs ALL 来 获取 你 的 
OpenSSL 版 本 支持 的 所 有 套件 列表 ， 然 后 一 个 个 提交 给 服务 絮 来 测试 服务 右 是 否 支 持 该 密码 套 
件 。 我 并 非 让 你 手动 去 做 这 些 测试 , 通过 一 点 点 的 自动 化 程序 就 可 以 很 好 地 解决 这 个 问题 。 事实 
上 ， 直 到 这 种 情况 的 时 候 去 网 上 找 个 好 工具 可 能 是 一 个 更 好 的 办 法 。 

这 种 测试 方法 有 一 个 缺点 就 是 你 只 能 测试 你 的 OpenSSL 支 持 的 密码 套件 。 如 果 用 的 是 1.0 之 
前 的 版 本 ， 就 会 是 一 个 大 问题 ， 因 为 那些 版 本 支持 的 套件 数量 非常 少 〈 例 如 ， 我 的 服务 器 使 用 
的 0.9.8k 版 本 只 支持 32 个 套件 )。 从 1.0.1 分 支 开始 的 版 本 都 支持 超过 100 种 套件 ,几乎 是 能 用 到 的 
所 有 套件 了 。 

没有 一 种 SSL/TLS 库 支持 所 有 的 密码 套件 ， 所 以 想 要 进行 综合 测试 就 有 点 困难 了 。 在 SSL 
Labs， 进行 部 分 握手 测试 时 会 遇 到 这 种 情况 , 我 是 通过 使 用 定制 的 客户 端 去 假装 支持 任意 密码 套 
件 的 方式 来 支持 的 。 该 客户 端 实际 上 甚至 无 法 完成 任何 一 个 套件 的 协商 , 但 是 只 需要 发 出 协商 就 
已 经 可 以 让 我 们 知道 服务 器 是 否 支 持 某 个 套件 。 使 用 这 种 方式 不 仅 可 以 测试 所 有 的 套件 , 而 且 效 
率 非常 高 。 
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最 开始 SSL 和 TLS 协 议 设计 的 时 候 , 每 个 下端 点 ( 卫 地 址 加 端口 ) 只 支持 一 个 网 站 。TLS 的 SNI 
扩展 是 为 了 在 同一 个 IP 端 点 上 支持 多 张 证 书 。TLS 客 户 端 使 用 这 个 扩展 发 送 希 望 访问 的 主机 名 ， 
而 TLS 服 务 带 使 用 该 扩展 来 选择 的 要 用 以 响应 的 正确 证 书 。 简 单 来 说 ，SNI 支 持 了 虚拟 安全 托管 。 
因为 很 多 服务 器 还 不 支持 SNI[， 所 以 大 部 分 情况 下 你 在 使 用 s_client 的 时 候 不 需要 指定 主机 
名 。 但 是 当 你 遇 到 启用 了 SNI 支 持 的 系统 ， 就 会 遇 到 下 面 三 种 情况 中 的 任意 一 种 。 

口 大 多 数 情况 下 ， 无 论 是 否 提 供 SNI 信 息 都 会 获得 同样 的 证 书 。 
口 服务 需 返 回 的 证 书 可 能 是 别 的 站 点 的 证 书 ， 不 是 你 想 要 测试 的 证 书 。 
口 极 少 情况 下 服务 需 可 能 会 中 止 握手 ， 并 且 拒绝 连接 。 

你 可 以 在 s_client 中 使 用 -servername 开 关 来 启用 SNI: 

$ openssl s client -connect www.feistyduck.com:443 -servername www.feistyduck.com 

你 可 以 通过 使 用 和 不 使 用 SNI 开 关 ， 并 且 检 查证 书 是 否 相 同 来 确定 某 个 站 点 是 否 支 持 SNI。 
如 果 证 书 不 相同 ， 表 示 SNI 是 必需 的 。 

有 时 候 ， 如 果 请 求 的 主机 名 不 可 用 ， 服 务 咒 会 返回 TLS 和 警告 。 即 便 就 服务 器 而 言 ， 这 个 警告 
不 是 致命 的 ， 客 户 端 还 是 可 能 决定 关闭 连接 。 例如 ,使 用 老 版 本 的 OpenSSL ( 例如 1.0.0 之 前 的 版 
本 )， 你 会 得 到 下 面 的 错误 信息 : 
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$ /opt/openssl-0.9.8k/bin/openssl s client -connect www.feistyduck.com:443 -servername xyz.com 
CONNECTED(00000003) 
1255:error:14077458:SSL routines:SSL23 GET_ SERVER HELLO:reason(1112):s23 clnt.c:596: 


12.8 ”测试 会 话 复 用 


与 目 








当 加 上 -reconnect 开 关 的 时 候 , s_client 命 令 可 以 用 来 测试 会 话 复 用 。 在 此 模式 下 , s_client 
标 服 务 器 连接 6 次 , 在 第 一 次 的 时 候 会 创建 新 的 会 话 , 然后 在 接 下 来 的 5 次 请 求 中 复 用 同样 的 





会 话 : 


12. 


$ echo | openssl s client -connect www.feistyduck.com:443 -Teconnect 

上 面 这 个 命令 会 产生 大 量 输 出 , 大 部 分 都 无 需 理 会 。 ee 
这 些 信息 中 应 该 只 会 在 开头 部 分 有 一 个 新 的 会 话 ， 如 下 面 这 

New, TLSv1/SSLv3, Cipher is RC4-SHA 

之 后 是 5 次 复 用 的 会 话 ， 如 下 面 这 样 : 

Reused, TLSv1/SSLv3, Cipher is RC4-SHA 

大 部 分 情况 下 你 可 能 不 会 关心 所 有 的 输出 , 想 要 快 点 知道 答案 。 那 么 可 以 使 用 下 面 这 个 命令 


$ echo | openssl s client -connect www.feistyduck.com:443 -reconnect -no_ss12 2>/dev/null | grep © 
"NewN\|Reuse 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 

Reused, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 
Reused, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 
Reused, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 
Reused, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 
Reused, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 


下 面 是 该 命令 的 功能 介绍 

口 _reconnect 开 关 激 活 了 会 话 复 用 模式 。 

口 -no_ss12 开 关 表 明 我 们 不 希望 使 用 SSL 2 连接 , 这 样 第 一 次 连接 就 会 使 用 SSL3 以 及 更 高 的 
版 本 。 老 的 SSL 2 握手 格式 不 支持 TLS 扩 展 ， 如 果 直 到 支持 会 话 票 证 作为 会 话 复 用 的 服务 
需 就 会 出 现 问题 。 

口 2> /dev/nul1 部 分 将 你 不 需要 关心 的 标准 错误 隐藏 掉 了 。 

口 最 后 ， 通 过 管道 化 的 grep 命 令 过 滤 出 你 关心 的 那 几 行 。 
注意 
如 果 在 测试 会 话 复 用 的 时 候 不 想 使 用 会 话 票 证 , 例如 有 时 候 不 是 所 有 客户 端 都 支持 该 
特性 ， 可 以 使 用 -no ticket 开关 禁用 会 话 票 证 。 


9 检查 OCSP 吊销 状态 
如 果 OCSP 响 应 程序 出 现 故障 ， 有 时 候 很 难 理解 到 底 是 为 什么 。 用 命令 行 检测 证 书 吊销 状态 
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可 行 的 ， 但 并 不 是 非常 直接 。 需 要 执行 下 面 这 些 步骤 。 

(1) 获得 想 要 检查 吊销 状态 的 证 书 。 

(2) 获得 颁发 证 书 。 

(3) 确定 OCSP 响 应 程序 的 URL。 

(4) 提交 OCSP 请 求 并 观察 响应 。 

前 面 两 个 步骤 可 以 在 连接 服务 右 的 时 候 指明 -showcerts 开 关 : 

$ openssl s client -Connect www.feistyduck.com:443 -showcerts 

输出 信息 的 第 一 张 证 书 属于 服务 器 证 书 。 如 果 证 书 链 的 配置 没 错 的 话 , 第 二 张 证 书 就 是 颁发 
者 的 证 书 。 为 了 确保 没有 问题 ， 需 要 检查 第 一 张 证 书 的 颁发 者 与 第 二 张 证 书 的 使 用 者 是 否 匹 配 : 


Certificate chain 

0 s:/1.3.6.1.4.1.311.60.2.1.3=GB/businessCategory=Private Organization/serialNumber=06694169/C + 

=GB/ST=London/L=London/0=Feisty Duck Ltd/CN=www.feistyduck.com 
i:/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./O0U=http://certificates. © 

starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 

----- BEGIN CERTIFICATE----- 

MITF5zCCBM+gAwIBAgIHBC9JXlv9vTANBgkqhkiCG9wOBAQUFADCB3DELMAKkGA1UE 

[30 lines of text removed] 

os5LW3PhHz8y9YFep2SV4c7+Nr1ZISHOZVZzN 

----- END CERTIFICATE----- 

1 s:/C=US/ST=Arizona/L=Scottsdale/0=Starfield Technologies, Inc./OU=http://certificates. < 

starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber= © 

10688435 
i:/C=US/0=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority 

----- BEGIN CERTIFICATE----- 

MIIFBZzCCA++gAWIBAgICAgEwWDQYJKoZIhvcNAQEFBQOAwaDELMAKOA1UEBhMCVVMx 


fe] 

如 果 第 二 张 证 书 不 对 的 话 , 需要 检测 证 书 链 里 剩余 的 证 书 ; 有 些 服务 器 配置 了 错误 的 证 书 链 
顺序 。 如 果 无 法 在 证 书 链 中 找到 颁发 者 的 证 书 , 那 就 得 去 别 的 地 方 找 找 。 有 一 种 方式 是 通过 查找 
分 支 证 书 的 颁发 机 构 信 息 访问 (authority information access ) 扩展 : 


$ openssl1 x509 -in fd.crt -noout -text 


P| 
Authority Information Access: 
OCSP - URI:http://ocsp.starfieldtech.com/ 
CA Issuers - URI:http://certificates.starfieldtech.com/repository/sf_intermediate.crt 



































加 


























| 

如 果 看 到 CA 颁发 者 ( CA issuer ) 的 信息 ， 就 应 该 能 找到 颁发 者 证 书 的 URL。 如 果 颁 发 者 的 
信息 不 存在 , 那么 可 以 尝试 在 浏览 器 中 打开 这 个 网 站 , 让 浏览 器 构建 整个 证 书 链 ， 然 后 从 浏览 器 
的 证 书 查看 器 里 面 下 载 颁发 者 的 证 书 。 如 果 以 上 所 有 的 尝试 都 失败 的 话 , 可 以 在 可 信 库 里 面 进行 
查找 或 者 访问 CA 的 网 站 。 

如 果 你 已 经 有 了 证 书 , 想 知道 OCSP 响 应 程序 的 地 址 , 可 以 使 用 x509 命 令 带 上 -ocsp_uri 开 关 : 


$ openssl x509 -in fd.crt -noout -ocsp uri 
http://ocsp.starfieldtech.com/ 
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现在 可 以 提交 OCSP 请 求 了 : 


$ openssl ocsp -issueT issuer.crt -cert fd.crt -url http://ocsp.starfieldtech.com/-CAfile © 
issuer.crt 


WARNING: no nonce in response 
Response verify OK 
fd.crt: good 


This Update: Feb 18 17:59:10 2013 CMT 
Next Update: Feb 18 23:59:10 2013 GMT 


你 需要 在 响应 里 面 查找 两 个 结果 。 第 一 ,检查 响应 自身 是 否 有 效 ( 上面 这 个 例子 是 Response 
Verify OK 表示 有 效 )， 第 二 ， 检 查 响 应 的 结果 是 什么 。 如 果 你 看 到 的 状态 是 good 那 么 表示 该 证 书 
没有 被 吊销 ， 如 果 是 revoked 则 表示 该 证 书 已 经 被 吊销 了 。 

注意 

警告 信息 里 面 说 的 缺少 hnonce (加 密 通 信 中 仅 使 用 一 次 的 密 钥 ) 的 意思 是 OpenSSL 想 
要 使 用 nonce 来 防止 重 放 攻 击 ， 但 是 服务 器 的 响应 中 并 没有 nonce。 这 种 情况 多 数 是 因 
为 CA 希望 提高 他 们 的 OCSP 响 应 程序 的 性 能 。 当 他 们 禁用 了 nonce 保 护 (标准 允许 这 
么 做 )，OCSP 响 应 能 够 被 制造 〈 一般 是 批量 制造 )、 缓 存 并 且 在 一 段 时 间 内 重用 。 
































你 可 能 会 遇 到 某 些 OCSP 响 应 程序 无 法 成 功 响 应 前 面 的 命令 。 这 种 情况 下 ， 下 面 的 建议 可 能 
会 有 所 帮助 。 

口 不 要 请 求 nonce 
有 些 服务 器 无 法 很 好 地 处 理 nonce, 响应 就 会 出 错 。 默认 情况 下 OpenSSL 会 请 求 一 个 nonce， 
如 果 要 禁用 ， 可 以 通过 在 命令 中 指定 -no_nonce 开 关 。 

口 在 请 求 头 中 提供 主机 名 
有 些 HTTP 请 求 没 有 在 Host 头 中 指定 正确 的 主机 名 ,虽然 大 部 分 的 OCSP 服 务 需 都 能 正常 响 
应 , 但 也 有 一 些 不 行 。 如 果 你 遇 到 的 错误 里 面包 含 HTTP 错 误 码 ( 例如 404 )， 那 么 可 以 尝 
试 在 OCSP 请 求 的 时 候 带 上 主机 名 。 在 OpenSSL 1.0.0 以 及 更 高 版 本 中 可 以 使 用 -header 开 
关 ， 不 过 该 开关 无 法 在 文档 中 查 到 。 

有 了 前 面 这 两 个 要 点 ， 最 终 可 以 使 用 下 面 这 行 命令 : 














$ openssl ocsp -issuer issuer.crt -cert fd.crt -url http://ocsp.starfieldtech.com/ -CAfile issuer. < 
crt -no nonce -header Host ocsp.starfieldtech.com 





12.10 测试 OCSP stapling 

















OCSP stapling 是 一 个 可 选 特性 ， 它 允许 在 传输 服务 器 证 书 的 时 候 带 上 OCSP 响 应 来 验证 证 书 
的 有 效 性 。 因 为 OCSP 响 应 是 通过 已 经 存在 的 连接 进行 传输 的 ， 所 以 客户 端 无 需 另外 单独 获取 。 
只 有 客户 端 在 握手 请 求 的 时 候 提交 status_request 扩 展 ， 服 务 器 才 会 使 用 OCSP stapling。 服 
务 器 如 果 支 持 OCSP stapling 的 话 ， 就 会 在 握手 里 面 带 上 OCSP 响 应 信息 。 
使 用 $s client 工具 带 上 -status 开关 来 请 求 OCSP stapling: 
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$ echo | openssl s client -connect www.feistyduck.com:443 -status 


OCSP 相 关 信息 会 在 连接 输出 的 最 开始 展现 出 来 。 例 如 ， 如 果 服 务 器 不 支持 stapling 的 话 ， 在 
输出 的 最 开始 部 分 就 会 看 到 : 


CONNECTED(00000003 ) 
OCSP response: no response sent 


如 果 服 务 需 支持 stapling， 那 么 会 在 输出 内 容 中 看 到 完整 的 OCSP 啊 应 : 


OCSP Response Data : 
OCSP Response Status: successful (0x0) 
Response Type: Basic OCSP Response 
Version: 1 (0x0) 
Responder Id: C = US, 0 = "GeoTrust, Inc.", CN = RapidSSL OCSP-TOV Responder 
Produced At: Jan 22 17:48:55 2014 GMT 
Responses: 
Certificate ID: 
Hash Algorithm: sha1 
Issuer Name Hash: 834F7C75EAC6542FED58B2BD2B15802865301EOE 
Issuer Key Hash: 6B693D6A18424ADD8F026539FD35248678911630 
Serial Number: OFE760 
Cert Status: good 
This Update: Jan 22 17:48:55 2014 CMT 
Next Update: Jan 29 17:48:55 2014 GMT 
We 


证 书 状态 为 good 表 示 该 证 书 未 被 吊销 。 
12.11 检查 CRL 吊销 状态 


与 OCSP 相 比 ， 通 过 检查 证 书 吊 销 列 表 ( certificate revocation list，CRL ) 来 检测 证 书 有 效 性 
会 更 复杂 ， 过 程 如 下 所 示 。 

(1) 获得 你 想 要 检测 吊销 状态 的 证 书 。 

(2) 获得 颁发 证 书 。 

(3) 下 载 并 验证 CRL。 

(4) 在 CRL 列 表 中 查找 证 书 序 列 号 。 
第 一 步 与 OCSP 检 测 方式 一 样 ， 可 以 按照 12.9 节 中 的 步骤 实施 。 
CRE 的 地 址 已 经 编码 进 服务 器 证 书 ， 可 以 使 用 下 面 的 命令 取出 : 


$ openssl x509 -in fd.crt -noout -text | grep crl 
URI:http://rapidssl-crl.geotrust.com/crls/rapidssl.crl 


























从 CA 获取 CRL: 
$ wget http://rapidssl-crl.geotrust.com/crls/rapidssl.crl 
验证 CRL 是 有 效 的 ( 例如 ,是 由 颁发 者 的 证 书签 名 的 ): 


$ openssl crl -in rapidssl.crl -inform DER -CAfile issuer.crt -noout 
verify OK 
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现在 ， 确 定 希 望 进行 检测 的 证 书 的 序列 号 : 


$ openssl x509 -in fd.crt -noout -serial 
serial=OFE760 


此 时 ， 可 以 将 CRL 转 换 成 可 读 的 的 格式 ， 然 后 手动 检查 : 


$ openssl crl -in rapidssl.cr]l -inform DER -text -noout 
Certificate Revocation List (CRL): 
Version 2 (0Ox1) 
Signature Algorithm: shalWithRSAEncryption 
Issuer: /C=US/0=GeoTrust, Inc./CN=RapidSSL CA 
Last Update: Jan 25 11:03:00 2014 GMT 
Next Update: Feb 4 11:03:00 2014 GMT 
CRL extensions: 
X509v3 Authority Key Identifier: 
keyid:6B:69:3D:6A:18:42:4A:DD:8F:02:65:39:FD:35:24:86:78:91:16:30 


X509v3 CRL Number: 
92103 
Revoked Certificates: 

Serial Number: OF38D7 
Revocation Date: Nov 26 20:07:51 2013 GMT 
Serial Number: 6F29 
Revocation Date: Aug 15 20:48:57 2011 GMT 

[| 


Serial Number: 0C184E 

Revocation Date: Jun 13 23:00:12 2013 GMT 

Signature Algorithm: shalWithRSAEncryption 
95:df:e5:59:bc:95:e8:2f:bb:0a:4f:20:ad:ca:8f:78:16:54: 
35:32:55:b0:c9:be:5b:89:da:ba:ae:67:19:6e:07:23:4d:5f: 
16:18:5c:f3:91:15:da:9e:68:b0:81:da:68:26:a0:33:9d:34: 
2d:5c:84:4b:70:fa:76:27:3a:fc:15:27:e8:4b:3a:6e:2e:1c: 
2c:71:58:15:8e:c2:7a:ac:9f:04:c0:f6:3c:f5:ee:e5:77:10: 
e7:88:83:00:44:Cc4:75:c4:2b:d3:09:55:b9:46:bf:fd:09:22: 
de:ab:07:64:3b:82:c0:4c:2e:10:9b:ab:dd:d2:cb:0c:a9:bo: 
51:7b:46:98:15:83:97:e5:ed:3d:ea:b9:65:d4:10:05:10:66: 
09:5c:c9:d3:88:c6:fb:28:0e:92:1e:35:b0:e0:25:35:65:b9: 
98:92:c7:fd:e2:c7:cc:e3:b5:48:08:27:1c:e5:fc:7f:31:8f: 
0a:be:b2:62:dd:45:3b:fb:4f:25:62:66:45:34:eb:63:44:43: 
cb:3b:40:77:b3:7f:6c:83:5Cc:99:4b:93:d9:39:62:48:5d:8c: 
63:e2:a8:26:64:5d:08:e5:c3:08:e2:09:b0:d1:44:7b:92:96: 
aa:45:9f:ed:36:f8:62:60:66:42:1c:ea:e9:9a:06:25:c4:85: 
fe:77:{2:71 


在 CRL 的 开头 是 一 些 元 数据 ,之 后 是 吊销 证 书 的 列表 , 结尾 部 分 是 签名 (我 们 在 上 一 步 中 验 
证 过 )。 如 果 服务 器 证 书 的 序列 号 在 这 份 列表 里 面 ， 意 味 着 该 证 书 已 经 被 吊销 了 。 

如 果 不 想 逐 行 寻找 序列 号 (有 一 些 CRL 可 能 会 很 长 )， 那 就 用 grep 查 找 它 ， 但 是 需要 小 心 ， 
确保 格式 正确 〈 例 如 ， 如 有 必要 ， 可 以 移 除 最 开始 的 ox， 删 除 所 有 在 开头 的 0， 并 且 将 所 有 字母 
变 成 大 写 )。 例 如 : 


$ openssl cr1 -in rapidssl.cr] -inform DER -text -noout | grep FE760 
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12.12 测试 重新 协商 


s_client 工 具 还 有 几 个 可 以 协助 你 手动 进行 重新 协商 测试 的 特性 。 首 先 ， 当 你 连接 的 时 候 ， 
s_client 会 报告 远程 服务 器 是 否 支 持 重新 协商 。 因 为 服务 器 如 果 支 持 安全 重新 协商 的 话 ,， 那么 它 
会 在 握手 阶段 通过 交换 特殊 的 TLS 扩 展 来 表明 支持 该 特性 。 如 有 果 服 务 絮 支持 ,输出 可 能 是 这 样 的 
(我 已 将 重点 加 粗 ): 


New, TLSv1/SSLv3, Cipher is AES256-SHA 
Server public key is 2048 bit 

Secure Renegotiation IS supported 
Compression: NONE 


Expansion 


: NONE 


SSL-Session: 


全 












































如 果 服 务 器 不 支持 安全 重新 协商 ， 输 出 会 有 一 些 不 同 : 

Secure Renegotiation IS NOT supported 

即便 服务 器 表明 它 支 持 安全 重新 协商 ， 你 也 想 测 试 一 下 他 是 否 允 许 客户 端 开始 这 个 重新 协 
商 。 由 客户 端 发 起 的 重新 协商 (client-initiated renegotiation ) 是 一 个 在 实际 中 用 不 到 的 协议 特性 
(因为 如 果 有 必要 的 话 都 可 以 由 服务 器 发 起 重新 协商 ), 该 特性 会 使 得 服务 器 更 容易 受到 拒绝 式 服 


务 攻击 。 























要 开始 重新 协商 ， 需 要 在 单独 一 行 中 输入 字符。 例如 ， 假 设 我 们 正在 与 HTTP 服 务 器 通信 ， 
你 可 以 在 第 一 行 发 送 一 个 请 求 , 初始 化 重新 协商 ， 然 后 结束 请 求 。 在 向 一 个 支持 客户 端 发 起 重新 
协商 的 Web 服 务 器 发 起 请 求 的 时 候 ， 会 出 现 以 下 内 容 : 


R 
depth=3 C 
verify re 


depth=2 C 


verify re 
depth=1 C 


verify re 








HEAD / HTI 


RENEGOTIAT 


[IP/1.0 


TING 
= Us, 0 
turn:1 

= US, 0 


turn:1 
= Us, 0 


https://www.veris 





turn:1 


Private Organizat 


= Mozilla 


Corpora 








= "VeriSign, Inc.", OU = Class 3 Public Primary Certification Authority 


= "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, Inc. © 


- For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority - G5 


= "VeriSign, Inc.", OU = VeriSign Trust Network, OU = Terms of Use at © 
ign.com/rpa (c)06, CN = VeriSign Class 3 Extended Validation SSL CA 


depth=0 1.3.6.1.4.1.311.60.2.1.3 = US, 1.3.6.1.4.1.311.60.2.1.2 = California, businessCategory = © 


ion, serialNumber = C2759208, C = US, ST = California, L = Mountain View, 0 © 
tion, OU = Terms of use at www.verisign.com/rpa (c)05, OU = Terms of use at © 


www.verisign.com/rpa (c)05, CN = addons.mozilla.org 
verify return:1 


Host: addons.mozi- 


1a.org 


HTTP/1.1 301 MOVED PERMANENTLY 
Content-Type: tex 
Date: Tue, 05 Jun 2012 16:42:51 GMT 

Location: https://addons.mozilla.org/en-US/firefox/ 
Keep-Alive: timeout=5, max=998 





t/html; charset=utf-8 
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Transfer-Encoding: chunked 
Connection: close 


read:errno=0 

当 发 生 了 重新 协商 , 服务 器 会 重新 将 它 的 证 书 发 送 给 客户 端 。 你 可 以 在 输出 内 容 中 看 到 对 证 
书 链 的 校 验 过 程 ， 在 那 之 后 是 Host 请 求 头 。 能 够 看 到 Web 服 务 器 的 响应 就 证 明 服 务 器 是 支持 重新 
协商 的 。 由 于 在 不 同 版 本 的 SSLATLS 库 中 发 现 了 不 同形 式 的 重新 协商 问题 ， 不 支持 重新 协商 的 服 
务 器 可 能 会 直接 断 开 连 接 ， 或 者 即使 保持 连接 处 于 打开 状态 ,也 会 拒绝 在 该 连接 上 继续 通信 ( 结 
果 通 常 是 超时 )。 
不 支持 重新 协商 的 服务 器 会 直截了当 地 拒绝 在 该 连接 上 进行 第 二 次 握手 : 


HEAD / HTTP/1.0 
R 
RENEGOTIATING 

140003560109728:error:1409EOE5:SSL routines:SSL3 WRITE BYTES:ssl handshake failure:s3 pkt.c:592: 


撰写 本 书 的 时 候 ，OpenSSL 默 认 是 按照 服务 絮 不 支持 安全 重新 协商 的 方式 进行 连接 的 。 它 也 
支持 安全 和 不 安全 的 重新 协商 , 由 服务 器 作出 选择 。 如 果 与 一 个 不 支持 安全 重新 协商 的 服务 器 进 
行 重新 协商 并 且 成 功 ， 表 明 该 服务 器 支持 由 客户 端 发 起 的 不 安全 重新 协商 。 


注意 

测试 不 安全 重新 协商 最 可 靠 的 方式 是 采用 本 节 使 用 的 方法 , 但 是 要 使 用 那些 有 重新 协 
商 功 能 的 OpenSSL 版 本 ( 例如，0.9.8k )。 我 提 及 这 个 的 主要 原因 是 有 部 分 服务 器 同时 
支持 安全 和 不 安全 的 重新 协商 ， 而 现代 版 本 的 OpenSSL 只 支持 安全 重新 协商 选项 ， 导 
致 很 难 检测 该 漏洞 。 
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12.13 测试 BEAST 漏洞 


BEAST 攻 击 利用 TLS 1.1 之 前 所 有 SSL 和 TLS 协 议 的 漏洞 。 该 漏洞 影响 所 有 CBC 套 件 以 及 客户 
端 和 服务 器 的 数据 流 ; 然而 BEAST 攻 击 只 对 客户 端 有 效 。 现 代 浏 览 器 使 用 被 称 为 1/n-1 分 割 的 工 
作 区 来 阻止 被 利用 , 不 过 一 些 服 务 器 仍然 在 它们 这 一 端 部 署 减缓 措施 , 特别 是 如 果 它 们 的 一 些 用 
户 还 使 用 老 的 浏览 器 (未 打 补 丁 )。 
理想 的 解决 方式 是 使 用 TLS 1.1 以 及 更 高 版 本 ， 但 是 支持 这 些 新 协议 的 客户 端 还 不 够 多 。 事 
实 上 RC4 本 身 现 在 也 被 认为 不 安全 , 这 导致 情况 变 得 更 加 复杂 。 如 果 你 认为 BEAST 比 RC4 更 危险 ， 
那么 应 该 为 使 用 新 浏览 器 的 用 户 部 署 TLS 1.2， 对 其 他 所 有 人 使 用 RC4。 
口 严格 缓解 
如 果 使 用 TLS 1.0 及 之 前 的 协议 ， 那 么 不 要 使 用 任何 CBC 套 件 ， 只 启用 RC4 套 件 。 不 支持 
RC4 的 客户 端 无 法 协商 安全 的 连接 ， 这 种 模式 排除 了 网 站 潜在 的 一 些 用 户 ,， 但 是 一 些 PCI 
的 评审 员 对 此 有 要 求 。 
口 RC4 优 先 
































12.14 测试 心脏 出 血 323 





为 只 有 很 小 一 部 分 客户 端 不 支持 RC4， 第 二 种 方式 是 启用 CBC 套 件 ， 但 是 对 所 有 支持 





RC4 的 客户 端 强制 使 用 RC4 套 件 。 这 种 广 式 为 大 部 分 用 户 提供 了 保护 。 
你 对 服务 器 行为 的 期 望 决定 了 如 何 进行 测试 ,在 两 种 方式 下 ,通过 使 用 -no_ss12、-no tls 411 





以 及 -no_tls_1 2 开关 来 确保 只 使 用 了 不 安全 的 协议 。 








为 了 测试 严格 缓解 的 方式 ， 可 以 尝试 让 客户 端 在 连接 的 时 候 禁用 所 有 的 RC4 套 件 : 


$ echo | openssl s client -connect www.feistyduck.com:443 \ 


-Cipher 'ALL:!IRC4' -no ssl2 -no tls1 1 -no tls1 2 


如 果 连 接 成 功 了 ( 只 有 在 使 用 了 有 漏洞 的 CBC 套 件 时 才 有 可 能 )， 你 就 可 以 确定 严格 缓解 的 





方案 并 没有 生效 。 


为 了 测试 RC4 优 先 的 方式 ， 可 以 尝试 在 连接 的 时 候 将 RC4 放 在 密码 套件 列表 的 最 后 面 : 


$ echo | openssl s client -connect www.feistyduck.com:443 \ 


-cipher 'ALL:+RC4' -no ssl2 -no tls1 1 -no tls1 2 


支持 RC4 优 先 的 服务 器 会 为 连接 选择 其 中 一 种 RC4 套 件 ， 并 且 忽 略 所 有 其 他 CBC 套 件 。 如 果 











再 看 看 别 的 ， 可 以 发 现 服务 器 并 没有 使 用 任何 缓解 BEAST 方 式 。 


12.14 测试 心脏 出 血 





你 可 以 手动 测试 心脏 出 血 , 也 可 以 使 用 一 些 工具 ( 因为 心脏 出 血 漏洞 非常 容易 利用 ,所 以 有 


非常 多 的 工具 )， 不 过 这 类 工具 的 准确 性 都 存在 疑问 。 





一 些 证 据 表明 有 些 工 具 无 法 成 功 检测 有 漏 





"考虑 到 心脏 出 血 的 严重 性 ， 最 好 手动 测试 或 者 使 用 那些 可 以 让 你 看 到 整个 过 程 的 
- 具 。 我 会 用 一 个 修改 过 的 OpenSSL 版 本 来 描述 你 可 以 使 用 的 一 种 方式 。 
的 OpenSSL 版 本 支持 心跳 协议 的 话 (1.0.1 及 更 高 版 本 )， 测 试 的 某 些 部 分 不 需要 对 











OpenSSL 进 行 修改 。 例 如 ， 如 果 要 测试 远程 服务 器 是 否 支 持 心跳 协议 ， 请 在 连接 的 时 候 使 用 


-tlsextdebug 开 关 显 示 服 务 器 扩展 : 





CONNECTED(00000003) 
0001 - <SPACES/NULS> 


0000 - 03 00 01 02 

TLS server extension "session ticket" (id=35), len=0 
TLS server extension "heartbeat" (id=15), len=1 
0000 - 01 


| 





TLS server extension "renegotiation info" (id=65281), 











openssl s client -connect www.feistyduck.com:443 -tlsextdebug 


len=1 


TLS server extension "EC point formats" (id=11), len=4 


不 支持 心跳 扩展 的 服务 器 不 会 受到 心脏 出 血 漏洞 的 影响 。 要 测试 服务 器 是 否 会 响应 心跳 请 
求 ， 使 用 -msg 开 关 请 求 将 该 协议 消息 展示 出 来 ， 然 后 连接 服务 器 ， 输 入 B 并 按 回 车 : 





GD Bugs in Heartbleed detection scripts, https:/www.hut3.net/blog/cns---networks-security/2014/04/14/bugs-in-heartbleed- 





detection-scripts-( Shannon Simpson 和 Adrian Hayter，2014 年 4 月 14 日 )。 
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$ openssl s client -connect www.feistyduck.com:443 -tlsextdebug -msg 


[ee 
B 
HEARTBEATING 


>>> TLS 1.2 [length 0025], HeartbeatRequest 
01 00 12 00 00 3c 83 1a 9f 1a 5c 84 aa 86 9e 20 
c7 a2 ac d7 6f fo c9 63 9b d5 85 bf 9a 47 61 27 
d5 22 4c 70 75 

<<< TLS 1.2 [length 0025], HeartbeatResponse 
02 00 12 00 00 3c 83 1a 9f 1a 5c 84 aa 86 9e 20 
Cc7 a2 ac d7 6f 52 4c ee b3 d8 a1 75 9a 6b bd 74 
f8 60 32 99 1c 

read R BLOCK 


输出 内 容 显示 了 一 对 完整 的 心跳 请 求 和 响应 。 两 条 心跳 消息 的 第 二 和 第 三 字 节 是 载荷 
( payload ) 的 长 度 。 我 们 提交 了 18 字 节 【〈 十 六 进 制 为 12 ) 的 载荷 ， 然 后 服务 器 返回 了 同样 长 度 的 
载荷 。 两 个 例子 中 还 有 额外 的 16 字 节 的 填充 。 载 荷 的 开始 两 字 节 组 成 了 序列 号 ， 是 OpenSSL 用 来 
匹配 请 求 以 及 响应 的 。 剩 余 的 载荷 以 及 填充 部 分 都 是 随机 数据 。 

要 测试 服务 器 是 否 有 漏洞 ,我 们 需要 准备 一 个 特别 的 OpenSSL 版 本 ,， 它 可 以 发 送 不 正确 的 载 
荷 长 度 。 有 漏洞 的 服务 器 会 接受 攻击 者 宣称 的 载荷 长 度 ,并 且 会 以 同样 字 节 的 内 容 作 出 响应 ， 而 
不 管 攻击 考 是 否 真 的 提供 了 这 么 长 的 载荷 。 

此 时 你 要 决定 是 否 想 要 创建 具有 攻击 性 的 测试 ( 通过 获取 进程 的 数据 来 攻击 服务 器 ) 或 者 非 
攻击 性 的 测试 ， 这 取决 于 你 的 环境 。 如 果 你 有 测试 的 许可 , 那么 就 采取 攻击 性 测试 。 在 这 种 情况 
下 ， 你 可 以 清楚 地 看 到 返回 的 内 容 ， 而 且 不 会 出 现 误 判 。 例 如 ， 某 些 版 本 的 GnuTLS 支 持 心 跳 而 
且 会 响应 带 有 不 正确 载荷 长 度 的 请 求 , 但 是 却 不 会 返回 服务 器 数据 。 非 攻击 性 测试 无 法 可 靠 地 检 
测 出 这 种 情况 。 

下 面 针对 OpenSSL 1.0.1h 的 补丁 形成 了 一 个 非 攻击 性 测试 的 版 本 : 


--- t1 lib.c.original ©2014-07-04 17:29:35.092000000 +0100 
+++ t1 lib.c 2014-07-04 17:31:44.528000000 +0100 

@@ -2583,6 +2583,7 @@ 

#endif 



































1 






























































#ifndef OPENSSL_NO_HEARTBEATS 
+#define PAYLOAD EXTRA 16 
int 
tls1 process heartbeat(SSL *s) 
{ 
@@ -2646,7 +2647,7 @@ 


/* 序列 号 */ 
n2s(pl, seq); 








- if (payload == 18 && seq == Ss->tlsext hb _seq) 
+ if ((payload == (18 + PAYLOAD EXTRA)) && seq == s->tlsext hb seq) 


s->tlsext hb seq++; 
s->tlsext hb pending = 0; 
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@@ -2705,7 +2706,7 60 
/* 消息 类 型 */ 

*p++ = TLS1 HB REQUEST; 
/* 载荷 长 度 (18 字 节 ) */ 

- s2n(payload, p); 

+ s2n(payload + PAYLOAD EXTRA, p); 
/* 序列 号 */ 
s2n(s->tlsext hb seq, p); 

/* 16 随 机 字 节 */ 


要 建立 非 攻击 性 测试 , 将 载荷 长 度 增加 到 16 字 节 或 者 将 填充 的 长 度 增加 到 16 字 节 。 漏洞 服务 
器 对 这 样 的 请 求 作 出 响应 时 , 将 返回 填充 而 不 会 返回 任何 其 他 内 容 。 要 建立 攻击 性 测试 ， 则 将 载 
荷 长 度 增加 到 32 字 节 。 漏 洞 服 务 器 会 以 50 字 节 的 载荷 (OpenSSL 默 认 发 送 的 18 字 节 加 上 你 的 32 字 
节 ) 作出 响应 并 发 送 16 字 节 的 填充 信息 。 通 过 使 用 这 种 方式 增加 发 送 载荷 的 长 度 , 漏洞 服务 器 最 
终 会 发 送 64 KB 的 数据 。 对 心脏 出 血 免 疫 的 服务 器 则 不 会 进行 响应 。 

为 了 建立 你 自己 的 心脏 出 血 测试 工具 ， 解 压缩 一 个 全 新 的 OpenSSL 源 代码 ， 请 编辑 ssl/t1_ 
lib.c， 按 照 补丁 进行 修改 ， 然 后 像 平 时 一 样 进行 编译 ,但 是 不 要 进行 安装 。 最 终 的 openssl 二 进 
制 会 被 放 在 apps/ 子 目录 中 。 因 为 采用 的 是 静态 编译 , 你 可 以 将 它 重 命名 为 类 似 openss1-heartbleed， 
然后 移动 到 某 个 固定 的 地 方 。 

下 面 是 一 个 输出 的 例子 ， 你 可 以 获得 漏洞 服务 器 返回 的 16 字 节 服 务 器 数据 ( 以 粗 体 显示 ): 


B 
HEARTBEATING 
>>> TLS 1.2 [length 0025], HeartbeatRequest 
01 00 32 00 00 7c e8 f5 62 35 03 bb 00 34 19 4d 
57 7e f1 e5 90 6e 71 a9 26 85 96 1c c4 2b eb d5 
93 e2 d7 bb 5f 
<<< TLS 1.2 [length 0045], HeartbeatResponse 
02 00 32 00 00 7c e8 f5 62 35 03 bb 00 34 19 4d 
57 7e f1 e5 90 6e 71 a9 26 85 96 1c c4 2b eb d5 
93 e2 d7 bb 5f 6f 81 of aa dc e0 47 62 3f 7e dc 
60 95 c6 ba df c9 f6 9d 2b c8 66 f8 a5 45 64 Ob 
d2 f5 3d a9 ad 
read R BLOCK 


如 果 你 想 要 在 一 个 响应 中 看 到 更 多 的 数据 ， 可 以 增加 载荷 的 长 度 , 重新 编译 ， 然 后 再 测试 一 
遍 。 也 可 以 通过 再 次 输入 B 命 令 ， 获 取 同 样 长 度 的 另外 一 批 数据 。 


















































































































































12.15 ”确定 Diffie-Hellman 参数 的 强度 


在 OpenSSL 1.0.2 以 及 之 后 的 版 本 中 ， 当 你 在 连接 服务 器 的 时 候 ， 如 果 使 用 了 临时 Diffie- 
Hellman，s client 命令 会 输出 密 钥 的 强度 。 因 此 ， 要 确定 某 些 服务 器 DH 人 参数 的 强度 ， 你 所 要 做 
的 就 是 ， 在 连接 服务 器 的 时 候 只 提供 那些 将 DH 用 作 密 钥 交 换 的 套件 。 例 如 : 


$ openssl-1.0.2 s client -connnect www.feistyduck.com:443 -cipher kEDH 


[ed 
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0 client certificate CA names sent 
Peer signing digest: SHA512 
Server Temp Key: DH, 2048 bits 


2 
支持 出 口 套 件 的 那些 服务 器 可 能 提供 了 更 加 不 安全 的 DH 参数 。 为 了 检测 这 种 情况 ， 在 连接 
的 时 候 只 提供 出 口 DHE 套 件 : 


openssl-1.0.2 s client -connnect www.feistyduck.com:443 -cipher kEDH+EXPORT 


对 那些 正确 配置 的 服务 器 ， 这 条 命令 会 失败 。 否 则 你 会 发 现 服务 器 会 协商 不 安全 的 512 位 的 
DH 参数 。 
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Apache httpd 是 一 款 流行 的 Web 服 务 器 ， 一 经 发 布 就 被 大 量 网 站 使 用 。Apache 是 一 个 成 熟 的 
产品 ， 其 2.4.x 分 支 对 TLS 有 极 好 的 支持 ， 特 别 是 在 最 近 的 版 本 中 ( 显著 的 改进 是 在 2.4.7 版 本 )。 
如 果 是 源 代码 编译 Apache， 你 可 以 利用 所 有 可 用 的 功能 。 

在 实践 中 ,大 多 数 人 有 机 会 接触 2.2.x 分 支 的 一 些 版 本 ,因为 这 是 前 几 代 流行 的 服务 器 版 本 ( 例 
如 Debian、Ubuntu、Red Hat Enterprise Linux 等 ) 所 配备 的 。 目 前 这 代 服 务 器 已 经 或 者 即将 配备 
Apache 2.4.x， 这 意味 着 新 版 本 会 慢 慢 开始 流行 。 表 13-1 列 出 了 2.2.x 和 2.4.x 分 支 的 主要 差异 。 


表 13-1 Apache httpd 的 各 个 最 新 稳定 分 支 对 TLS 功 能 的 支持 







































































Apache 2.2.x Apache 2.4.x 
DH 参数 默认 强度 支持 (2.2.31)“ 支持 (2.4.7) ” 
可 配置 DH 和 ECDH 参 数 支持 (2.2.31)“ 支持 (2.4.7)， 
椭圆 曲线 支持 赤 持 (2.2.26)“ 支持 
OCSP stapling ts 支持 
分 布 式 TLS 会 话 缓存 — 支持 
可 配置 会 话 票证 密 角 一 支持 
禁用 会 话 票证 支持 (2.4.12)“ 





a 2015 年 7 月 发 布 的 版 本 2.2.31。 
b 2013 年 11 月 发 布 的 版 本 2.4.7。 
c 2013 年 11 月 发 布 的 版 本 2.2.26。 早 期 版 本 可 以 通过 一 个 叫 作 TLS Interposer 的 第 三 方 工具 (本章 稍 后 将 介绍 ) 支持 ECDH 
密 钥 交换 。 
d 2015 年 1 月 发 布 的 版 本 2.4.12。 

注意 

大 多 数 操作 系统 发 行 版 配备 相同 (或 类 似 ) 版 本 号 的 软件 包 , 但 与 官方 原始 版 本 在 功 

能 上 有 所 不 同 。 这 些 差异 最 常见 是 安全 补丁 ， 但 也 可 能 是 功能 差异 。 你 应 该 检查 文档 

和 源 代 码 (软件 包 通常 包含 原始 的 源 代码 和 补丁 )， 以 了 解 差异 是 否 重要 。 

2.2.x 分 支 实际 上 最 大 的 问题 是 缺乏 对 椭圆 曲线 加 密 的 支持 。 虽 然 Apache 在 2.2.26 (2013 年 11 


月 发 布 ) 中 增加 了 对 EC 的 支持 ,但 大 多 数 发 行 版 所 配备 的 支持 都 基于 一 些 早期 的 版 本 。 不 支持 
EC 密码 就 无 法 部 署 ECDH 密 钥 交 换 , 这 意味 着 你 不 能 具备 快速 并 且 强 大 的 前 向 保密 支持 。 一 些 发 
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行 版 向 后 移 值 了 重要 特性 ; 请 检查 你 自己 的 版 本 是 否 存 在 这 种 可 能 。 

缺乏 其 他 特性 是 可 以 容忍 的 。OCSP stapling 是 值得 拥有 的 ( 它 可 以 提高 网 站 性 能 )， 但 对 大 
多 数 人 来 说 并 不 是 非常 重要 。 如 果 是 你 认为 的 重要 特性 ， 可 以 从 源 代码 安装 Apache 2.4.x。 

除了 重大 明显 的 差异 ,2.4.x 分 支 包含 大 量 的 微 改进 。 虽然 一 开始 并 不 明显 , 但 它们 累加 起 来 
就 可 能 会 有 显著 的 效果 。 作 为 一 个 例子 ，Apache 2.4.x 很 可 能 占用 更 少 的 内 存 ， 因 为 它 使 用 了 
OpenSSL 减 少 内 存 消耗 模式 (SSL_MODE RELEASE_BUFFERS 选 项 )。 我 检查 时 发 现 ，OpenSSL 的 这 个 
特性 并 没有 在 最 新 的 2.2.x 版 本 中 启用 

本 章 旨 在 涵盖 关于 Apache 的 TLS 配 置 最 重要 和 有 趣 的 方面 , 但 并 不 是 参考 指南 。 有 关 更 多 细 
节 ， 请 参考 官方 文档 。 
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13.1 安装 静态 编译 OpenSSL 的 Apache 


早 在 2004 年 我 在 写 第 一 本 关于 Apache 安 全 的 书 ( 4pache Security ) 时 ， 源 代码 安装 Apache 就 
是 很 常见 的 , 我 花 了 很 多 时 间 记 录 这 个 过 程 。 随 着 技术 的 稳定 ,大 多 数 人 停止 了 使 用 源 代码 安装 
( 因为 容易 被 依赖 操作 系统 提供 的 二 进 制 文件 所 困扰 ), 你 的 操作 系统 供应 商 发 布 安 全 更 新 的 速度 
可 能 比 你 从 源 代码 编译 更 快 ， 因 此 也 更 加 安全 。 

现在 , 要 使 用 最 好 的 TLS 特 性 ,我 们 有 时 不 得 不 挽 起 袖子 回 到 老 旧 的 方式 。 例 如 ,我 有 两 台 
运行 Ubuntu10.04 LTS 的 服务 器 ,上 面 安装 的 OpenSSL 版 本 不 支持 TLS 1.2, 并且 安装 的 Apache 2.2.x 
也 不 支持 ECDHE 密 码 套件 。? 

如 果 你 正在 运行 较 旧 的 发 行 版 , 使 用 最 新 版 本 的 OpenSSL 运 行 Apache 最 简单 的 方法 是 静态 编 
译 加 密 库 代码 ， 全 部 安装 到 一 个 单独 的 位 置 。 这 样 一 来 ,你 既 可 以 达到 目的 又 不 会 影响 到 操作 系 
统 的 其 余部 分 。 

首先 ， 获 得 OpenSSL 的 最 新 稳定 版 本 ， 并 在 不 会 影响 你 的 系统 版 本 的 位 置 进行 安装 。 按 照 
11.1.2 节 中 的 说 明 进 行 安 装 。 

然后 , 取得 Apache 、APR 和 APR-Util 库 的 最 新 版 本 。 将 所 有 软件 包 解 压 到 同一 个 源 代码 树 下 ， 
并 将 后 两 者 放 在 Apache 期 望 的 位 置 : 

$ tar zxvf httpd-2.4.16.tar.gz 

$ cd httpd-2.4.16/srclib/ 

$ tar zxvf ../../apr-1.5.2.tar.gz 

$ ln -s apr-1.5.2/ apr 


$ tar zxvf ../../apr-util-1.5.4.tar.gz 
$ ln -s apr-util-1.5.4/ apr-util 


你 现在 可 以 配置 和 安装 Apache 了 。mod_ssl 这 个 模块 将 被 静态 编译 ; 所 有 其 他 模块 将 被 动态 
编译 。 


$ ./configure \ 
































































































































QD Ubuntu 10.04 LTS 现 在 已 经 过 时 了 ,但 在 2014 年 8 月 本 书 第 一 版 发 布 时 仍然 是 受 支 持 的 。 如 果 你 在 阅读 这 篇 文章 时 
仍 在 运行 旧版 本 的 Ubuntu， 我 建议 你 尽快 升级 。 
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--prefix=/opt/httpd \ 
--with-included-apr \ 
--enable-ssl \ 
--with-ssl=/opt/openssl-1.0.1p\ 
--enable-ssl-staticlib-deps \ 
--enable-mods-static=ssl 

$ make 

$ sudo make install 


里 你 可 以 继续 调整 配置 。 所 有 模块 默认 将 被 编译 ， 但 只 有 一 些 模块 将 在 配置 中 启用 
13.2 启用 TLS 











如 果 要 在 HTTPS 默 认 端 口 (443 ) 上 部 署 网 站 ，Apache 会 考虑 对 人 P 地 址 自动 启用 TLS 协 议 。 
你 需要 显 式 启用 TLS 的 唯一 情形 是 ， 使 用 非 标准 端口 时 。 例 如 : 


# 443 痛 口 默认 局 用 
Listen 192.168.0.1:443 














# 但 是 其 他 非 443 病 口 需要 显 式 局 用 
Listen 192.168.0.1:8443 https 


你 会 发 现 许多 协议 配置 并 不 使 用 Listen 指 令 ， 而 是 使 用 SSLEngine 指 令 启 用 TLS : 


<VirtualHost 192.168.0.1:443> 
网 站 主机 名 
ServerName site1.example.com 











对 虚拟 主机 启用 TLS 
SSLEngine on 





其 他 配置 指令 
</VirtualHost> 


这 种 做 法 从 Apache 2.0.x 开 始 很 受 使 用 者 欢迎 , 因为 在 这 些 版 本 中 的 Listen 指 令 没 有 针对 协议 
配置 的 支持 。 








Apache 实 现 了 Web 服 务 器 和 代理 服务 器 。 因 此 ， 也 有 控 币 人 色 操 作 TLS 的 配置 
指令 。 大 多 数 代理 指令 以 SSLPToxy 开 头 ; 在 配置 Web 服 务 器 端 时 应 该 忽略 它们 。 


13.3 ”配置 TLS 协议 


配置 Apache 前 端 TLS 需 要 三 个 指令 。 首 先是 SSLProtoco1l， 指 定 哪些 协议 应 该 启用 : 


# 启用 全 部 协议 ， 除 了 SSL 2 和 SSL 3 这 两 个 过 时 并 且 不 安全 的 协议 
SSLProtocol all -SSLv2 -SSLV3 


通常 的 做 法 是 通过 al1 启 用 所 有 可 用 的 协议 ， 然 后 禁用 你 不 希望 部 署 的 。 第 二 个 指令 是 
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SSLHonorCipherOrder， 指 示 Apache 在 TLS 握 手 期 间 选 择 其 首选 套件 ( 而 不 是 选择 客户 端 所 提供 的 
第 一 个 文 持 套件 ): 


# 由 服务 器 选择 密码 套件 ， 而 不 是 客户 闹 
SSLHonorCipherOrder on 


最 后 SSLCipherSuite 指 令 需 要 一 个 OpenSSL 的 套件 配置 字符 串 以 及 配置 这 些 套件 以 何 种 顺序 
被 启用 : 


# 这 份 密码 套件 配置 只 使 用 提供 前 向 保密 的 ， 并 且 以 最 佳 性 能 排序 
SSLCipherSuite "ECDHE-ECDSA-AES128-GCM-SHA256 \ 





























ECDHE-ECDSA-AES256-GCM- SHA384 \ 
ECDHE-ECDSA-AES128-SHA \ 
ECDHE-ECDSA-AES256-SHA \ 
ECDHE-ECDSA-AES128-SHA256 \ 
ECDHE-ECDSA-AES256-SHA384 \ 
ECDHE-RSA-AES128-GCM- SHA256 \ 
ECDHE-RSA-AES256-GCM- SHA384 \ 
ECDHE-RSA-AES128-SHA \ 
ECDHE-RSA-AES256-SHA \ 
ECDHE-RSA-AES128-SHA256 \ 
ECDHE-RSA-AES256-SHA384 \ 
DHE-RSA-AES128-GCM-SHA256 \ 
DHE-RSA-AES256-GCM- SHA384 \ 
DHE-RSA-AES128-SHA \ 
DHE-RSA-AES256-SHA \ 
DHE-RSA-AES128-SHA256 \ 
DHE-RSA-AES256-SHA256 \ 
EDH-RSA-DES-CBC3-SHA" 


注意 

上 述 例 子 中 的 密码 套件 配置 是 安全 的 , 但 根据 自己 的 偏爱 和 风险 状况 ,可 能 你 喜欢 的 

套件 配置 略 有 不 同 。 你 可 以 在 第 8 章 中 找到 关于 TLS 服 务 器 配置 的 详细 论述 ， 并 可 以 

在 11.3.1 节 的 “推荐 配置 ”部 分 中 找到 部 署 OpenSSL 的 例子 。 

前 面 的 例子 主要 是 针对 较 新 的 Apache 版 本 , 其 中 有 椭圆 加 密 支 持 , 但 在 较 老 的 安装 版 本 中 会 

适当 地 回 退 。 

提示 

TLS 协 议 配 置 最 好 放置 在 主 服务 器 范围 内 ， 它 适用 于 托管 在 服务 器 上 的 所 有 网 站 。 仅 

在 必要 时 调整 每 个 网 站 的 基础 配置 。 


13.4 配置 密 钥 和 证 书 


除了 配置 TLS 协 议 ， 安 全 的 网 站 还 需要 私 钥 和 证 书 链 。 为 此 ， 通 常 需要 三 个 指令 ， 如 下 面 的 
例子 所 示 : 


# 配置 服务 器 私 铀 
SSLCertificateKeyFile conf/server.key 
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# 配置 服务 器 证 书 
SSLCertificateFile conf/server.crt 


# 配置 CA 提供 的 中 间 证 书 链 ， 当 服务 器 是 自 签 名 证 书 时 不 需要 这 个 指令 
SSLCertificateChainFile conf/chain.pem 


证 寿 
注意 
/i、 


从 2.4.8 版 本 开始 SSLCertificateChainFile 指 令 已 经 过 时 了 。 取 代 它 的 是 通过 
SSLCertificateFile 指 令 指 定 提供 所 有 的 证 书 文件 。 这 种 变化 可 能 是 因为 越 来 越 多 的 
网 站 要 使 用 多 私 钥 部 署 ( 例如 同时 使 用 RSA 和 ECDSA )， 并 且 每 个 私 钥 可 能 需要 不 同 
的 证 书 链 这 一 事实 驱动 的 。 


没有 正确 配置 整个 证 书 链 是 一 个 常见 的 错误 ,导致 连接 的 客户 端 证 书 管 告 。 为 了 避免 这 个 问 
题 ， 始 终 遵 循 你 的 CA 提供 的 说 明 。 当 更 新 证 书 时 ， 请 确保 使 用 新 的 中 间 证 书 ; 旧 的 中 间 证 书 可 





能 不 再 合适 。 


:十 二 
注 E33 
i、 




















本 节 中 的 示例 假定 你 的 私 钥 不 使 用 密码 保护 。 我 建议 密 钥 创建 和 备份 时 使 用 密码 , 但 
在 服务 器 上 部 署 时 不 使 用 密码 。 如 果 你 想 使 用 保护 的 密 钥 ， 将 不 得 不 使 用 SSLPass- 
PhraseDialog 指 令 让 Apache 与 外 部 程序 对 接 ， 每 次 需要 时 提供 密码 。 


13.5 ”配置 多 个 密 钥 


Apache 人 允许 安全 的 网 站 使 用 不 止 一 种 类 型 的 TLS 的 密 钥 ， 这 并 不 广为人知 。 这 个 特性 最 初 被 
设计 为 允许 网 站 并 行 部 署 RSNA 和 DSA 密 钥 ， 它 几乎 是 无 人 使 用 的 ， 因 为 DSA 在 Web 服 务 器 密 钥 中 


消失 至 尽 。 























近期 出 现 大 量 为 了 提高 握手 性 能 而 部 署 ECDSA 私 钥 的 讨论 。 与 此 同时 由 于 目前 广泛 使 用 的 
SHA1 已 经 接近 寿终正寝 ， 已 有 的 证 书签 名 向 SHA2 迁 移 。 问 题 是 旧 客 户 端 可 能 不 支持 ECDSA 密 
钥 和 SHA2 签 名 。 一 种 解决 方案 是 部 署 两 套 密 钥 和 证 书 : 将 RSA 和 SHA1 部 署 给 旧 客 户 端 ， 而 将 
ECDSA 和 SHA2 部 署 给 新 客户 端 。 

部 署 有 多 个 私 钥 的 网 站 非常 简单 ， 只 需 指 定 多 个 密 钥 和 证 书 ， 一 个 接着 男 一 个 。 例 如 : 


# RSA 私 角 
SSLCertif 
SSLCerti 


# DSA 私 角 
SSLCerti 
SSLCerti 


# ECDSA 私 
SSLCertif 
SSLCerti 














fica 
fica 


fica 
fica 


钥 


fica 
fica 





teKeyFile conf/server-rsa.key 
teFile conf/server-rsa.crt 


teKeyFile conf/server-dsa.key 
teFile conf/server-dsa.crt 


teKeyFile conf/server-ecdsa.key 
teFile conf/server-ecdsa.crt 
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# 中 间 证 书 必须 同时 适用 三 种 服务 器 证 书 

SSLCertificateChainFile conf/chain.pem 

唯一 要 注意 的 是 每 个 服务 器 只 能 使 用 一 次 SSLCertificateChainFile 指 令 , 这 意味 着 三 个 证 书 
的 中 间 证 书 必须 相同 。 早 期 开始 提供 ECDSA 密 钥 的 CA 都 设置 了 这 种 方式 。 

使 用 不 同 的 证 书 层 次 结构 是 可 能 的 ， 但 必须 完全 避免 SSLCertificateChainFile。 相 反 ， 将 所 
有 必要 的 中 间 证 书 〈 对 应 所 有 密 钥 的 ) 串联 到 一 个 文件 中 ， 并 使 用 SSLCertificateFile 指 令 指 向 
它 。 使 用 这 种 方法 可 能 会 有 轻微 的 性 能 降低 ， 因 为 对 每 一 个 新 的 连接 ，OpenSSL 都 需要 检查 可 用 
的 CA 证 书 ， 才 能 构建 证 书 链 。 

如 果 将 Apache 2.4.8 或 更 高 版 本 与 OpenSSL 1.0.2 或 更 高 版 本 一 起 使 用 ， 就 完全 支持 多 个 独立 
的 证 书 层次 结构 。 在 这 种 情况 下 , 简单 地 将 SSLCertificateFile 指 令 指向 包含 整个 证 书 链 的 文件 ， 
证 书 链 以 分 支 证 书 为 开始 按 正确 的 顺序 排列 。 


注意 

为 了 确保 所 有 部 署 的 密 钥 确实 可 用 , 请 确保 在 配置 中 启用 了 相应 的 密码 套件 。ECDSA 
套件 在 名 称 中 都 有 ECDSA; DSA 套 件 在 名 称 中 都 有 DSS; 所 有 其 他 套件 都 被 设计 成 与 
RSA 密 钥 一 起 工作 。 


13.6 ”通配符 和 多 站 点 证 书 


如 果 有 两 个 或 多 个 站 点 共用 一 个 证 书 , 在 相同 卫 地 址 部 署 是 可 行 的 , 尽管 事实 上 对 公众 网 站 
的 虚拟 安全 托管 还 不 可 行 。 不 需要 特殊 的 配置 ; 所 有 这 些 简单 关联 的 网 站 使 用 相同 的 IP 地 址 ， 并 
确保 它们 都 使 用 相同 的 证 书 。” 

这 能 够 工作 是 因为 TLS 终 止 和 HTTP 主 机 的 选择 是 两 个 独立 的 步骤 .终止 TLS 时 ,如果 缺少 SNI 
信息 ( 更 多 信息 参见 13.7 节 )， 那 么 Apache 就 会 为 该 PP 地址 提供 第 一 个 出 现在 配置 中 的 默认 站 点 
的 证 书 。 第 二 步 ，Apache 查 看 提供 的 Host 请 求 头 ， 并 在 HTTP 级 别 上 提供 正确 的 站 点 。 如 果 未 在 
卫 地 址 上 配置 请 求 的 主机 名 ， 将 提供 默认 的 网 站 。 

使 用 这 种 类 型 的 部 署 ， 你 可 能 会 得 到 类 似 下 面 这 样 的 警告 : 

[Mon Dec 30 11:26:04.058505 2013] [ssl:warn] [pid 31136:tid 140679275079488] AHO229< 


2: Init: Name-based SSL virtual hosts only work for clients with TLS server name * 
indication support (RFC 4366) 


这 是 因为 Apache 注 意 到 你 在 同一 端点 有 多 个 安全 的 站 点 ,但 它 不 会 检查 默认 证 书 对 所 有 站 点 
是 否 有 效 。 从 2.4.10 版 本 开始 ， 不 再 显示 警告 。 
















































































































































































QO@ 从 技术 上 讲 , 该 限制 是 每 PP 地 址 和 端口 组 合 (一 个 TCP/IP 端 点 ), 例 如 ,你 可 以 将 一 个 安全 站 点 托管 在 192.168.0.1:443 
上 ， 而 将 另 一 个 托管 在 192.168.0.1.:8443 上 。 在 实践 中 ， 仅 可 以 将 公共 站 点 托管 在 端口 443 (HTTPS 的 标准 端口 ) 
上 ， 因 此 限制 是 每 下 地 址 有 效 的 。 
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13.7 ”虚拟 安全 托管 


与 13.6 节 中 讨论 的 设置 不 同 ,， 真正 的 虚拟 安全 托管 有 许多 不 相关 的 网 站 ， 每 一 个 都 有 自己 的 
证 书 ， 共 享 一 个 了 下 地 址 。 因 为 SSL 和 TLS 的 早期 版 本 不 支持 这 个 功能 ， 所 以 会 有 很 多 客户 端 不 文 
持 。 出 于 这 个 原因 , 将 虚拟 安全 托管 用 于 用 户 广泛 的 公共 网 站 还 不 可 行 , 但 可 以 将 其 用 于 现代 用 
户 群 的 站 点 。 

Apache 支 持 虚拟 安全 托管 ,并 在 需要 时 自动 使 用 它 。 唯 一 的 问题 是 : 如 果 你 依赖 虚拟 安全 托 
管 , 但 收 到 不 支持 的 客户 端 ， 此 时 会 发 生 什 么 ? 通常 , 在 这 种 情况 下 Apache 会 提供 与 所 请 求 的 卫 
地 址 关联 的 默认 站 点 的 证 书 。 因 为 该 证 书 不 可 能 与 所 需 的 主机 名 匹配 ， 用 户 便 以 证 书 警 告 结 
但 是 ， 如 果 它 们 能 够 绕 过 警告 ， 就 会 得 到 它们 希望 看 到 的 站 点 。" 

你 不 能 避免 这 种 情况 下 的 证 书 警 告 ， 但 最 好 的 做 法 依赖 虚拟 安全 托管 的 网 站 对 不 明白 SNI 客 
户 不 提供 任何 内 容 。 这 就 是 SSLStrictSNIVHostCheck 指 令 做 的 事 ， 使 用 它 有 两 种 方式 。 

第 一 种 方式 是 对 整个 全 地 址 执行 严格 的 虚拟 安全 托管 。 要 做 到 这 一 点 ,你 要 在 默认 虚拟 主机 
上 使 用 该 指令 。 例 如 : 


Apache 2.2.xX 需 要 下 面 的 指令 才能 支持 基于 名 称 的 虚拟 托管 
Apache 2.4.X 以 及 更 高 版 本 不 需要 
ameVirtualHost 192.168.0.1:443 




























































































<VirtualHost 192.168.0.1:443> 
ServerName does-not-exist.example.com 


# 对 不 支持 虚拟 安全 托管 (通过 SNI) 的 客户 阁 不 提供 任何 内 容 
SSLStrictSNIVHostCheck On 
</VirtualHost> 


<VirtualHost 192.168.0.1:443> 
ServerName site1.example.com 


</VirtualHost> 


<VirtualHost 192.168.0.1:443> 
ServerName site2.example.com 


</VirtualHost> 


或 者 你 只 对 某 些 站 点 执行 严格 的 虚拟 安全 托管 ,而 对 其 他 站 点 进行 宽松 的 配置 。 在 下 面 的 例 
子 中 ， 不 会 将 site1.example.com 提 供给 不 支持 SNI 的 客户 端 ， 上 其 他 站 点 : 


<VirtualHost 192.168.0.1:443> 
ServerName default.example.com 





</VirtualHost> 














@ 假设 所 请 求 的 主机 名 在 服务 器 上 已 经 配置 ; 如 果 不 是 ， 它 们 将 再 次 得 到 默认 的 网 站 。 
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<VirtualHost 192.168.0.1:443> 
ServerName site1.example.com 


# 该 网 站 对 不 支持 虚拟 安全 托管 (通过 SNI) 的 客户 阁 不 提供 任何 内 容 
SSLStrictSNIVHostCheck On 


</VirtualHost> 


<VirtualHost 192.168.0.1:443> 
ServerName site2.example.com 


</VirtualHost> 


每 当 因为 严格 检查 SNI 发 生 错 误 , Apache 将 返回 状态 码 403 以 迫使 请 求 失败 , 但 不 会 指示 根本 
原因 。 如 果 主 机 头 中 提供 的 信息 是 正确 的 ,匹配 主机 的 ErrorDocument 指 令 会 进行 协商 。 如 果 它 
间 定 重 定 回 或 消息 ， 那 么 该 消息 将 被 发 送 回 客户 端 。 如 果 ErrorDocument 指 定 文件 或 脚本 ， 它 的 
处 理 将 会 失败 。 

如 果 想 对 这 种 情况 提供 一 条 自 定义 错误 消息 ， 可 以 这 样 做 : 通过 禁用 内 置 SNI 严 格 检查 并 且 
实现 自 定义 检查 来 代替 。Apache 变 量 SSL_TLS sh 包含 客户 端 提供 的 SNI 信 息 ; 如 果 这 个 变量 是 空 
的 ,意味 着 客户 端 不 支持 SNI。 下 面 的 mod_ rewrite 配 置 ( 放置 在 某 个 虚拟 主机 部 分 中 ) 可 以 工作 : 


RewriteEngine On 

RewriteCond %{SSL:SSL TLS SNI} = 

RewriteRule ^ /errors/no-sni.html 
注意 
这 里 所 描述 的 行为 在 版 本 2.4.9 中 开始 实现 。 从 版 本 2.4.10 开 始 ，Apache 的 行为 有 所 不 
同 : (1) 403 响 应 页 面包 含 了 拒绝 的 原因 ; (2) ErrorDocument 指 令 可 以 调用 脚本 。 这 些 
改变 使 得 有 可 能 配置 脚本 来 处 理 403 错 误 ， 检 测 错误 提示 是 否 提 及 SNI ( REDIRECT_ 
ERROR_NOTES 变 量 )， 并 根据 具体 的 上 下 文 提供 不 同 的 信息 。 


13.8 ”为 错误 消息 保留 默认 站 点 


对 未 正确 指定 的 请 求 提供 实际 的 网 站 内 容 响 应 从 来 就 不 是 一 个 好 主意 。 例如 , 你 不 希望 搜索 
引擎 对 任意 主机 名 的 网 站 进行 索引 。 无 论 你 提供 什么 内 容 , 客户 端 都 会 将 其 视 为 属于 它 请 求 的 站 

点 ; 不 匹配 有 时 可 以 用 于 利用 一 个 站 点 中 的 漏洞 ， 就 好 像 该 漏洞 在 另 一 个 站 点 上 一 样 。 为 了 避免 
这 种 情况 ， 我 建议 保留 每 个 耻 地 址 和 端口 组 合 的 默认 站 点 用 于 传递 错误 消息 。 

下 面 是 可 以 使 用 的 配置 示例 : 

# 我 们 将 要 使 用 此 默认 网 站 向 用 户 

# 解释 主机 不 匹配 和 SNI 问 题 

<VirtualHost 192.168.0.1:443> 


# 此 处 使 用 的 主机 名 永远 不 应 该 被 匹配 
ServerName does-not-exist.example.com 
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DocumentRoot /var/www/does-not-exist 


这 个 IP 和 端口 上 的 全 部 网 站 都 需要 支持 SNI 
SSLStrictSNIVHostCheck on 


到 这 个 网 站 的 全 部 请 求 返 回 404 状 态 码 
RewriteEngine On 
RewriteRule ^ - [L,R=404] 


对 请 求 未 在 此 服务 器 上 进行 配置 的 
主机 名 的 客户 端 返回 的 错误 信息 
ErrorDocument 404 "<h1i>No such Site</h1><p>The site you requested does not exist.</p>" 


根据 需要 使 用 的 其 他 配置 指令 
像 往常 一 样 启用 TLS5， 并 使 用 自 签名 证 书 





</VirtualHost> 


13.9 ”前 向 保密 


如 果 你 是 从 2.4.x 的 分 支部 署 Apache， 并 且 从 源 代码 编译 一 切 ， 那 么 就 可 以 自己 处 置 DHE 和 
ECDHE 套 件 ， 这 些 套件 为 前 向 保密 提供 了 可 靠 的 支持 。 如 果 依 赖 系 统 提 供 的 软件 包 ， 它 们 有 时 
会 不 支持 EC 加 密 ， 原 因 如 下 。 

口 EC 加 密 不 受 老 版 本 的 Apache 2.2.x 支 持 

即使 使 用 了 配套 的 OpenSSL 版 本 ， 很 多 流行 的 Apache 2.2.x 发 行 版 本 并 不 支持 EC 加 密 。 这 
主要 是 因为 OpenSSL 增 加 了 EC 支持 ， 但 在 默认 情况 下 该 功能 是 禁用 的 。 如 果 你 面临 这 种 
情况 ， 那 么 有 可 能 会 不 希望 从 源 代码 安装 Apache ( 我 会 在 本 节 稍 后 进行 解释 )。 

口 OpenSSL 版 本 太 老 

如 果 底 层 OpenSSL 不 支持 较 新 的 功能 ( 如 EC 加 密 )， 那么 即使 Apache 支 持 也 无 能 为 力 。 较 
早 的 OpenSSL 版 本 依然 广泛 用 于 旧 设 备 上 ， 甚 至 一 些 较 新 的 操作 系统 版 本 也 使 用 。 例 如 ， 
在 2013 年 11 月 发 布 的 OS X Mavericks， 附 带 OpenSSL 0.9.8y ( 这 是 早期 0.9.x 分 支 的 最 新 版 
本 )。 

当前 最 好 用 的 OpenSSL 版 本 是 从 1.0.1 分 支取 得 最 新 的 或 更 高 的 版 本 。 幸 运 的 是 ，Apache 
可 以 用 静态 编译 OpenSSL 的 版 本 , 这 意味 着 你 可 以 只 升级 Web 服 务 器 同时 不 影响 操作 系统 
的 核心 软件 包 。 

口 OpenSSL 的 版 本 不 支持 EC 

长 期 以 来 , Red Hat 的 操作 系统 自 带 的 OpenSSL 不 支持 EC 加 密 , 因为 他 们 的 律师 希望 在 EC 
加 密 成 为 可 信任 的 专利 后 再 使 用 。 这 让 使 用 Fedora 和 Red Hat Enterprise Linux 发 行 版 (及 
其 开源 衍生 物 ， 如 CentOS ) 的 人 难以 部 署 前 向 保密 。 "处 理 它 的 唯一 办 法 是 重新 编译 关键 


































































































Q@ ECDHE 是 很 重要 的 ， 因 为 唯一 可 替代 它 的 DHE 套 件 在 Internet Explorer 上 无 法 实现 向 前 保密 。 最 重要 的 是 ，DHE 
比 RSA 和 ECDHE 密 钥 交 换 要 慢 得 多 ， 这 就 是 为 什么 大 多 数 网 站 不 希望 使 用 它 。 
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的 系统 软件 包 。 

这 一 情况 在 2013 年 10 月 发 生 了 改变 ， 当 时 Fedoral8 及 其 更 高 版 本 更 新 了 启用 EC 加 密 的 
OpenSSL 版 本 。” 

从 2013 年 11 月 发 布 的 6.5 版 本 开始 ， 所 有 的 Red Hat Enterprise Linux 版 本 都 支持 EC 加 密 。” 











以 非 补 丁 方式 在 Apache 2.2.x 中 启用 ECDHE 套 件 

TLS Interposer "是 一 个 Linux 工 具 ， 用 于 改善 程序 对 OpenSSL 的 使 用 ， 使 其 不 必 重 新 编译 
或 以 任何 方式 进行 改变 。 它 的 工作 原理 是 拦截 一 定 的 OpenSSL 函 数 调 用 并 且 重 写 它 们 的 行为 。 

默认 情况 下 ，TLS Interposer 将 执行 以 下 操作 。 
口 禁用 SSL 2 和 SSL 3 协议 
口 启用 ECDHE 密 码 套件 支持 
口 执行 它 自己 的 密码 套件 配置 ， 默 认 是 使 用 强 密码 加 密 的 

一 个 不 错 的 TLS Interposer 使 用 案例 是 在 Apache 2.2.X 中 启用 ECDHE 密 码 套件 。 此 工具 无 
法 将 所 有 EC 功能 添加 到 Apache 中 , 但 增加 ECDHE 套 件 使 你 能 够 支持 强大 的 前 向 保密 , 这 是 最 
常见 的 需求 。 











13.10 OCSP stapling 


在 线 证 书 状态 协议 (online certificate status protocol，OCSP ) 是 按 需 取得 证 书 撤销 信息 的 协 
议 。 大 多 数 证 书包 含 OCSP 信 息 , 这 使 得 TLS 客 户 端 能 够 直接 与 签发 CA 通信 确认 证 书 没 有 被 吊销 。 
OCSP stapling 人 允许 Web 服 务 器 从 CA 获取 新 的 OCSP 响 应 ， 缓 存在 本 地 ， 并 与 证 书 一 起 提交 给 客户 
端 。 在 这 种 情况 下 ， 客 户 端 不 需要 与 CA 通信 ; 这 提高 了 性 能 并 且 有 更 好 的 隐私 。Apache 从 2.4.x 
分 支 开 始 支持 OCSP stapling。 
































13.10.1 配置 OCSP stapling 


虽然 Apache 有 很 多 与 OCSP stapling 相 关 的 指令 ,但 大 多 只 需要 进行 微调 。 你 一 开始 启用 OCSP 
stapling 只 需要 以 下 两 个 指令 : 
# 基于 服务 器 上 使 用 的 证 书 数量 ， 


# 配置 0CSP 响 应 缓存 大 小 128 KB 
SSLStaplingCache shmcb:/opt/httpd/logs/stapling cache(128000) 








QD Bug#319901: missing ec and ecparam commands in openssl package, https://bugzilla.redhat.com/show_bug.cgi?id= 
319901 ( Red Hat Bugzilla，2013 年 10 月 22 日 关闭 )。 

@ Red Hat Enterprise Linux6.5 Release Notes ， https://access.redhat.com/documentation/en-US/Red Hat Enterprise 
Linux/6/html-single/6.5_Release_Notes/ (Red Hat， 2013 年 11 月 21 日 )。 

@® TLS Interposer，https:/netfuture.ch/tools/tls-interposer ( Marcel Waldvogel， 检索 于 2014 年 7 月 12 日 )。 
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# 为 服务 器 上 的 全 部 站 点 
# 默认 局 用 OCSP stapling 
SSLUseStapling on 


在 这 个 例子 中 ， 我 配置 了 OCSP 响 应 的 服务 器 级 缓存 ， 默 认 对 所 有 站 点 启用 stapling。 你 也 可 
以 在 别处 使 用 ssLUsestapling 指 令 为 单个 网 站 启用 或 禁用 stapling。 
默认 情况 下 ， 会 将 成 功 的 OCSP 响 应 缓存 3600 秒 ,但 可 以 使 用 ssSLstaplingStandardCache 
Timeout 指 令 改 变 这 个 超时 时 间 。 


注意 
OCSP 请 求 是 基于 HTTP 的 ， 这 意味 着 需要 允许 你 的 Web 服 务 器 出 站 ,在 互联 网 上 请 求 
各 种 OCSP 响 应 程序 。 如 果 正 在 运行 出 站 防火 墙 ， 确 认 允 许 该 通信 例外 。 


如 果 你 的 网 站 没有 正确 配置 证 书 链 ， 配 置 OCSPstapling 可 能 会 失败 。 为 了 通过 Apache 来 验证 
OCSP 响 应 ( 它 总 是 如 此 ), 需 要 签发 服务 器 证 书 的 CA 证 书 ;如 果 没 有 ,stapling 无 法 工作 并 且 Apache 
会 报错 : 


[Thu Jan 23 16:26:58.547877 2014] [ssl:error] [pid 1333:tid 140576489142080] AHO221e 
7: ssl stapling init cert: Can't retrieve issueT certificate! 
[Thu Jan 23 16:26:58.547900 2014] [ssl:error] [pid 1333:tid 140576489142080] AHO223* 
5: Unable to configure server certificate for stapling 


如 果 由 于 某 种 原因 你 没有 使 用 SSLCetrtificateChainFile 配 置 证 书 链 , 可 以 在 SSLCertificate- 
File 指 令 中 配置 所 需 的 CA 证 书 。 其 实 ， 最 好 的 做 法 是 始终 有 根 证 书 在 证 书 链 。 
要 使 用 OpenSSL 验 证 OCSP stapling 配 置 是 否 正确 ， 请 按照 12.10 节 中 的 说 明 操 作 。 





















































13.10.2 ”处 理 错误 


Apache 会 缓存 成 功 和 失败 OCSP 响 应 。 理论 上 这 没有 坏处 ， 因 为 你 的 客户 端 通过 直接 与 CA 对 
话 也 会 获得 相同 的 结果 。 但 在 实践 中 ,这 取决 于 实际 情况 。 例 如 ， 因 为 即使 是 失败 的 响应 也 会 被 
缓存 ( 默认 情况 下 为 600 秒 ， 通 过 SSLStaplingErrorCacheTimeout 可 修改 )， 一 次 性 的 问题 可 能 最 


























终 会 影响 到 所 有 的 用 户 。 E 
由 于 有 很 多 的 传闻 证 据 表 明 ，OCSP 响 应 程序 可 能 有 奇怪 的 问题 ， 我 想 你 应 该 谨慎 行事 ， 而 














不 是 返回 响应 程序 错误 : 
SSLStaplingReturnResponderErrors off 
如 果 你 选择 传播 错误 ， 要 记 住 在 真正 的 OCSP 响 应 程序 不 响应 的 情况 下 ，Apache 会 默认 生成 
虚假 的 OCSP tryLater 响 应 。 我 认为 禁用 此 功能 比较 安全 : 
SSLStaplingFakeTryLater off 
这 可 能 是 出 问题 的 一 个 例子 ， 考 虑 别人 重新 配置 你 的 Web 服 务 器 出 站 防火 墙 ， 无 意 阻 止 
Apache 取 得 OCSP 响 应 。 如 果 禁 用 虚假 响应 , 你 的 客户 将 仍然 能 够 直接 与 真正 的 响应 者 进行 沟通 。 
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13.10.3 ”使 用 自 定义 OCSP 响应 程序 


通常 情况 下 , OCSP 请 求 提 交 到 证 书 中 列 出 的 OCSP 响 应 程序 。 但 在 以 下 两 种 情况 下 你 可 能 想 
硬 编码 OCSP 响 应 程序 信息 。 
口 某 些 证 书 实际 可 能 不 包含 任何 OCSP 信 息 , 即使 签发 CA 提供 了 响应 程序 。 这 种 情况 下 可 以 
手动 提供 OCSP 响 应 程序 地 址 。 
口 在 严格 安全 管控 的 环境 中 ， 从 Web 服 务 器 的 直接 出 站 通信 可 能 会 被 禁止 。 在 这 种 情况 下 ， 
如 果 想 使 用 OCSP stapling， 你 需要 为 OCSP 请 求 配置 HTTP 代 理 。 
可 以 使 用 ssLSstaplingForceURL 指 令 在 全 局 或 单个 站 点 覆盖 证 书 OCSP 信 息 : 


SSLStaplingForceURL http://ocsp.example.com 


13.11 配置 临时 的 DH 密 钥 交 换 


传统 上 ，Apache 保 留 使 用 OpenSSL 默 认 配 置 的 Diffie-Hellman ( DH ) 密 钥 交换 强度 。 这 样 运 
作 了 很 长 一 段 时 间 , 但 OpenSSL 默 认 的 1024 位 强度 不 再 被 认为 是 足够 的 。 相 比 之 下 ， 目 前 最 佳 实 
ee 在 很 长 一 段 时 间 ， 增 加 DH 密 钥 交 换 强度 的 唯一 途径 是 修改 源 
代码 ， 使 用 一 个 只 对 2.4.x 分 支 可 用 的 补丁 。 "但 没有 其 他 办 法 。 从 2.4.7 版 本 开始 ，Apache 会 自动 
A 私 钥 的 强度 。 


冀 生 

吾 口 

如 果 你 坚持 使 用 旧版 本 的 Apache 和 1024 位 的 DH 密 钥 交换 ， 需 要 确定 这 对 你 的 情况 而 
言 是 否 太 脆弱 。 在 一 些 已 知 攻击 中 ( 参考 6.5 节 )，Apache 中 硬 编码 的 DH 配置 可 以 被 
国家 级 攻击 者 利用 


如 果 你 个 希望 使 用 内 置 的 标准 DH 参 数组 ， ee 
数 。 如 果 要 做 到 这 一 点 ， 请 在 SSLCetrtificateFile 指 令 指 定 的 文件 末尾 追加 所 需 的 参数 。 










































































13.12 TLS 会 话 管理 


Apache 支 持 两 种 会 话 管理 机 制 : 服务 器 端 状态 缓存 和 会 话 票 证 。Apache 2.2.x 只 有 独立 部 署 
缓存 的 功能 ， 但 是 Apache 2.4.x 增 加 各 (及 避让 国 能 。 





13.12.1 独立 会 话 缓存 


对 于 单 台 Web 服 务 器 ， 只 有 一 个 可 用 的 TLS 会 话 缓存 选择 ， 共 享 内 存 。 也 可 以 将 会 话 缓存 在 
DBF 文 件 中 ， 但 这 种 方法 在 重负 载 下 是 不 可 靠 的 〔 根据 Apache 文 档 )。 








GD 在 Apache 2.4.x 上 增加 DHE 参 数 长 度 ，http://blog.ivanristic.com/2013/08/increasing-dhe-strength-on-apache.html ( Ivan 
Ristit，2013 年 8 月 15 日 )。 
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对 于 使 用 共享 内 存 缓存 , 你 需要 先 启用 mod_socache_shmcb 模 块 。 之 后 , 在 服务 器 范围 内 指定 
以 下 两 条 指令 : 

# 指定 会 话 缓存 类 型 、 路 径 和 大 小 〈1 MB) 

SSLSessionCache shmcb:/path/to/logs/ssl scache(1024000) 


# 指定 会 话 缓存 最 长 持续 时 间 为 1 天 
SSLSessionCacheTimeout 86400 


默认 情况 下 ， 会 将 超时 时 间 设 置 为 $ 分 钟 ， 这 是 非常 保守 的 。 通 常 几 乎 没有 理由 去 重新 协商 
新 的 会 话 ; 我 选择 使 用 24 小 时 代替 默认 值 。 默 认 的 缓存 大 小 为 512 KB ， 但 我 增加 到 1 MB。 对 于 
规模 较 小 的 网 站 ,这 两 个 值 可 能 能 够 较 好 地 工作 。 知 名 网 站 都 需要 了 解 它们 的 使 用 模式 , 并 且 将 
缓存 大 小 设置 为 适当 的 值 。 我 用 Apache 2.4.x 测 试 ， 你 应 该 使 用 1 MB 缓存 存储 大 约 4000 个 会 话 。 


注意 

重启 动 Apache ( 即使 使 用 正常 的 选项 保留 主 进程 ) 会 清除 会 话 缓存 。 因 此 ， 每 次 重新 
启动 会 带 来 服务 器 的 少量 CPU 开销 以 及 对 用 户 的 响应 延迟 。 一 般 情 况 下 ， 你 不 应 该 担 
心 它 ， 除 非 重启 非常 频繁 。 


根据 Apache 的 版 本 ， 对 于 TLS 会 话 缓存 ， 你 可 能 还 需要 配置 用 于 同步 访问 缓存 的 互 斥 锁 。 
Apache 2.4.x 默 认 使 用 互 斥 锁 ， 但 可 以 用 Mutex 指 令 调 整 配置 。 令 人 费解 的 是 ， Apache 2.2.x 默 认 
情况 下 不 使 用 互 斥 锁 ， 这 意味 着 它 的 缓存 在 高 负荷 下 很 容易 损坏 。 

要 配置 基于 Apache 2.2.x 的 互 斥 锁 ， 使 用 SSLMutex 指 令 : 


# 配置 同步 访问 TLS 会 话 绥 存 的 互 斥 锁 
SSLMutex file:/var/run/apache2/ssl mutex 


在 Unix 平 台 上 , 可 靠 的 自动 互 斥 锁 选 择 历来 很 困难 ,因为 一 般 不 可 能 找到 一 个 在 所 有 系统 上 
运行 良好 的 互 斥 锁 类 型 。 出 于 这 个 原因 ,你 会 发 现 默认 方案 往往 使 用 基于 文件 的 互 斥 锁 ; 它们 是 
最 可 靠 的 ， 但 不 是 最 快 的 。 

注意 

Apache 为 整个 服务 器 使 用 相同 的 TLS 会 话 缓存 ,但 不 相关 的 应 用 程序 共享 会 话 缓存 可 
能 是 危险 的 。 会 话 恢复 使 用 缩短 的 TLS 握 手 ， 跳 过 证 书 验 证 。 网 络 攻击 者 可 以 将 流量 
从 一 个 端口 重 定向 到 另 一 个 可 能 绕 过 证 书 验证 的 端口 ， 强 制 请 求 被 不 正确 的 程序 处 
理 。 此 攻击 可 能 导致 信息 泄露 。 对 于 可 能 出 现 的 问题 的 完整 讨论 参阅 6.8 节 。 




































































13.12.2 ”独立 会 话 票证 


默认 情况 下 ， 由 OpenSSL 提 供 会 话 票证 的 实现 。 对 于 独立 服务 器 ， 这 种 做 法 “正好 有 效 ”， 
尽管 你 应 该 清楚 以 下 这 些 方面 。 
口 会 话 票 证 使 用 128 位 AES 加 密 保护 。 当 Web 服 务 器 最 初 启动 时 产生 一 次 性 密 钥 。 取 决 于 配 
置 ， 有 可 能 会 使 用 多 个 密 钥 。 
口 密 钥 长 度 是 固定 的 ， 但 128 位 对 大 多 数 用 例 来 说 已 经 足够 安全 。 
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口 重新 启动 服务 器 时 ， 会 产生 新 的 票证 密 钥 。 这 意味 着 ， 在 重新 启动 后 的 所 有 连接 都 需要 
协商 新 的 TLS 会 话 。 
口 相同 的 AES 密 钥 对 于 服务 器 一 直 有 效 。 为 了 尽量 减少 会 
保定 期 重新 启动 Web 服 务 咒 ， 最 好 是 每 天 。 


13.12.3 “分 布 式 会 话 缓存 


如 果 你 的 网 站 是 在 多 个 服务 器 上 运行 ， 但 你 不 能 集中 终止 TLS ( 例如 负载 均衡 设备 )， 并 且 
没有 使 用 粘性 会 话 〈 客户 端 始 终 发 送 到 同一 个 节点 )， 你 将 需要 分 布 式 TLS 会 话 缓存 ， 这 是 一 种 
在 集群 节点 之 间 交 换 会 话 信息 的 机 制 。 

Apache 2.4.x 使 用 流行 网 络 缓存 程序 memcached， EHO 话 缓存 的 支持 很 好 。 要 使 
用 它 ， 需 要 部 署 nemcached 绥 存 的 一 个 实例 ， 然 后 让 所 有 Web 服 务 器 连接 到 它 。 

首先 ， 确保 你 已 经 安装 并 且 激 活 了 mod_socache_memcache 模 块 : 

LoadModule socache memcache module modules/mod socache memcache.so 

然后 像 这 样 配置 TLS 会 话 缓存 : 


# 为 TLS 会 话 缓存 使 用 memcached 
SSLSessionCache memcache:memcache.example.com:11211 








消 
mh 
泪 
司 | 


E 对 前 向 保密 的 影响 , 应 该 确 






































# 指定 缓存 最 长 持续 时 间 为 1 小 时 
SSLSessionCacheTimeout 3600 


关于 memcached 的 大 小 ， 请 考虑 以 下 要 点 。 

口 独立 服务 器 , 分 配 足够 的 RAM , 保证 了 会 话 数 据 可 以 缓存 会 话 的 整个 持续 时 间 ( -m 参 数 )。 
口 锁定 缓存 〈( -k 选 项 ) 以 提高 性 能 ， 并 且 防 止 敏感 TLS 会 话 数 据 写 和 人 交换 分 区 (swap )。 

口 确保 允许 连接 的 最 大 数 足以 涵盖 整个 集群 ( -c 选 项 ) 文 持 的 并 发 连接 的 最 大 数 。 

可 以 使 用 下 面 的 配置 文件 作为 起 点 定制 : 














# 以 用 户 名 memcache 运 行 
-U memcache 


# 运行 端口 11211 
-p 11211 


# 日 志文 件 
logfile /var/log/memcached.1og 


# 分 配 10 MB 缓存 
-m 10 


# 允许 连接 数 上 限 10240 
-C 10240 





# 锁定 内 存 以 提升 性 能 ， 更 重要 的 是 阻止 
# 敏感 TLS 会 话 数据 被 写 写 入 交换 分 区 
-k 
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运行 分 布 式 TLS 会 话 缓存 似乎 简单 明了 。 在 实践 中 ， 取 决 于 具体 细节 ， 你 需要 考虑 许多 额外 
的 问题 ， 包 括 以 下 内 容 。 
口 可 用 性 
0 点 不 再 在 本 地 保留 任何 TLS 会 话 信息 , 而 是 依赖 配置 的 memcached 提 供 的 数 
据 。 这 意味 着 memcache 是 你 集群 的 一 个 风险 点 。 你 将 如 何 处 理 memcache 运 行 不 符合 预 
期 ? 
口 性 能 
TLS 会 话 数据 在 远程 托管 ，memcache 查 找 恢复 的 TLS 连 接 会 增加 延迟 。 如 果 网 络 很 快 并 且 
可 靠 ， 这 个 成 本 将 是 固定 的 ， 并 且 可 能 很 小 。 衡 量 成 本 的 唯一 可 靠 方式 是 通过 对 比 整 个 
集群 和 独立 服务 器 的 性 能 。 确 保 禁 用 客户 端 会 话 票 证 ; 否则 你 有 可 能 测量 了 错误 的 恢复 
机 制 。 
口 安全 性 
与 memcache 的 通信 和 是 不 加 密 的 , 这 意味 着 在 内 部 网 络 中 传输 的 敏感 TLS 会 话 数据 有 可 能 会 
暴露 ,这 是 不 理想 的 , 因为 同一 网 络 上 的 任何 服务 器 的 沦陷 也 会 导致 所 有 TLS 会 话 的 沦陷 。 
这 一 问题 可 以 通过 使 用 某 种 特定 的 加 密 网 络 段 与 remcached 通 信 来 解决 。 


注意 

由 于 TLS 会 话 缓存 共享 可 能 导致 安全 漏洞 ， 最 佳 实 践 是 永远 不 与 无 关 的 应 用 程序 共享 
缓存 。 对 于 分 布 式 缓存 更 是 如 此 ， 很 可 能 多 个 应 es 缓存 。 为 
了 获得 最 佳 的 安全 性 ， 应 该 为 每 个 应 用 程序 运行 单独 的 memcache 节 


13.12.4 ”分 布 式 会 话 票 证 


如 果 你 部 署 Web 服 务 器 集群 ， 并 且 期 望 每 个 节点 能 终止 TLS ， 于 公会 古寺 证 会 引入 额外 的 管 
理 挑 战 。 为 了 可 靠 地 解密 会 话 数据 ， 所 有 集群 节点 必须 使 用 相同 的 密 钥 ; 这 意味 着 你 可 以 不 再 依 
赖 OpenSSL 生 成 的 每 个 服务 器 自己 的 密 钥 。 

Apache 2.2.x 不 支持 可 配置 的 票证 密 钥 。 这 意味 着 ， 如 13.12.3 节 中 所 述 ， 你 唯一 的 选择 是 禁 
话 票证 。Apache 2.4.x 支 持 通过 SSLSsessionTicketkeyFile 指 令 手 动 配置 会 话 票证 密 铀 。 有 了 

， 你 可 以 手动 生成 会 话 票证 密 钥 文 件 , 使 用 管理 其 他 配置 数据 那样 的 机 制 , 将 其 推送 到 集群 中 
的 所 有 点 。 

会 话 票证 密 钥 文 件 由 48 字 节 加 密 的 随机 数据 组 成 。 该 数据 被 用 于 3 个 16 字 节 (128 位 ) 的 片段 ， 
分 别 用 于 密 钥 名 称 、HMAC 密 钥 和 AES 密 钥 。 
使 用 OpenSSL 可 以 生成 一 个 像 这 样 的 票证 密 钥 文件 : 
$ openssl rand -out ticket.key 48 
之 后 ， 你 只 需要 给 Apache 指 定 密 钥 文件 : 
SSLSessionTicketkeyFile /path/to/ticket.key 
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EE 

会 话 票证 密 钥 文件 必须 用 与 其 他 私有 密 钥 一 样 的 方式 进行 保护 ,虽然 没有 必要 对 其 进 
行 备份 ， 但 必须 确保 只 有 root 用 户 可 以 访问 该 文件 。 此 外 ,不同 的 应 用 程序 始终 使 用 
不 同 的 的 会 话 票 证 密 钥 。 这 将 确保 一 个 站 点 的 会 话 不 会 被 另 一 个 站 点 恢复 。 


对 于 独立 部 署 的 服务 器 , 必须 定期 轮转 会 话 票证 密 钥 以 尽量 减少 对 前 向 保密 的 影响 ， 比 如 每 
天 一 次 。 


13.12.5 ”禁用 会 话 票证 


尽管 会 话 票 证 加 入 TLS 协 议 是 受 欢迎 的 , 但 有 时 候 你 可 能 希望 禁用 它 ， 通常 是 因为 它 引 入 额 
外 的 运行 开销 。 从 Apache 2.4.11 开 始 ， 你 可 以 使 用 ssLSessionTickets 指 令 禁 用 会 话 票证 。 如 果 你 
运行 的 是 旧版 本 并 且 不 想 升 级 ， 唯 一 的 解决 办 法 是 给 Apache 源 代码 打 补 丁 ， 下 面 是 详细 的 说 明 。 
要 禁用 Apache 2.2.x ( 对 v2.2.27 测 试 ) 的 会 话 票证 ， 使 用 下 面 的 补丁 : 


--- ./modules/ssl/ssl engine init.c.orig 2014-07-16 10:53:06.000000000 +0100 
+++ ./modules/ssl/ssl engine init.c 2014-07-16 10:53:44.000000000 +0100 
@@ -615,6 +615,11 @@ 
6 
SSL CTX_set options(ctx, SSL OP_ NO SESSION RESUMPTION ON RENEGOTIATION); 
#endif 
证 
+#ifdef SSL OP_NO_TICKET 
+ /* 禁用 会 话 票 证 */ 
+ SSL CTX_ set options(ctx, SSL OP NO TICKET); 
+#endif 


} 
要 禁用 Apache 2.4.x 的 会 话 票 证 (测试 过 v2.4.10 ), 使 用 下 面 的 补丁 : 


--- ./modules/ssl/ssl engine init.c.orig 2014-07-14 05:29:22.000000000 -0700 
+++ ./modules/ssl/ssl engine init.c 2014-07-21 08:07:17.584482127 -0700 
@@ -583,6 +583,11 60 

SSL CTX_ set mode(ctx, SSL MODE RELEASE BUFFERS); 













































































#endif 


+#ifdef SSL OP NO TICKET 
+ /* 禁用 会 话 票证 */ 
+ SSL CTX set options(ctx, SSL OP NO TICKET); 
+#endif 
+ 
return APR_ SUCCESS; 


} 

要 禁用 会 话 票 证 ， 首 先 要 对 源 代码 应 用 正确 的 补丁 。 可 以 通过 定位 包含 源 代码 和 补丁 目录 ， 
并 执行 以 下 命令 : 

$ patch -pO < disable-tickets-2.4.10.patch 

patching file ./modules/ssl/ssl engine init.c 


这 里 你 需要 按照 自己 的 期 望 重新 配置 Apache 并 启用 SSL 0P_NO_TICKET 编 译 器 标志 。 例 如 : 























13.13 ”客户 端 身份 验证 。 343 





$ ./configure \ 
--prefix=/opt/httpd \ 
--with-included-apr \ 
--enable-ssl \ 
CFLAGS=-DSSL OP_NO_TICKET 


13.13 ”客户 端 身份 验证 
采用 客户 端 身份 验证 的 配置 很 简单 : 启用 它 ， 提 供 所 有 必要 的 CA 证 书 ， 形 成 一 个 完整 的 验 
证 链条 ， 并 提供 吊销 信息 : 


# 启用 客户 阁 身 份 验 证 
SSLVerifyClient require 




















# 指定 从 客户 端 证 书 到 可 信 根 证 书 路 径 的 最 大 深度 

SSLVerifyDepth 2 

# 允许 签发 客户 况 证 书 的 CA 

# 这 些 证 书 的 可 分 辨 名 称 将 被 发 送 到 每 个 用 户 ， 

# 以 协助 客户 端 证 书 选 择 

SSLCACertificateFile conf/trusted-certificates.pem 

检查 吊销 客户 端 证 书 的 传统 方法 是 使 用 本 地 CRL 列 表 。 这 种 方法 的 性 能 最 好 ,因为 所 有 操作 
都 在 本 地 进 。 通 常 配置 一 个 脚本 并 周期 性 地 运转 ， 用 来 检索 新 CRL 并 重新 加 载 Web 服 务 器 : 

# 启用 客户 说 证 书 吊 销 检 查 

SSLCARevocationCheck chain 








# 已 吊销 证 书 列表 。 该 列表 每 次 变动 时 部 要 求 重新 加 载 
# every time this list is changed . 
SSLCARevocationFile conf/revoked-certificates.crl 


从 Apache 2.4.x 开 始 ， 你 也 可 以 使 用 OCSP 帅 销 检查 。 此 选项 以 性 能 降低 为 代价 提供 实时 吊销 
信息 : 


# 对 客户 说 证 书 使 用 0CSP 检 查 吊 销 
SSLOCSPEnable On 


如 果 要 求 客户 端 身份 验证 , 但 客户 端 不 提供 的 话 ,，mod_ssl 将 以 致命 警报 拒绝 TLS 握 手 。 对 于 
最 终 用 户 来 说 , 这 意味 着 他 们 得 到 一 个 隐藏 的 错误 消息 。 通 过 SSLVerifyClient 指 令 配 置 不 同 的 值 
更 加 妥善 地 处 理 这 种 情况 是 可 行 的 。 
DQ optional 
TLS 握 手 期 间 请 求 客户 端 证 书 ， 但 并 不 是 必需 的 。 验 证 的 状态 存储 在 SSL_CLIENT_VERIFY 变 
量 中 : NONE 表 示 没 有 证 书 ，SUCCESS 表 示 有 效 的 证 书 ，FAILED 后 面 带 着 验证 失败 的 证 书 错误 
消息 。 如 果 你 希望 给 那些 证 书 验 证 失败 的 客户 端 提供 自 定义 响应 ， 这 个 功能 非常 有 用 。 
口 optional no ca 
TLS 握 手 期 间 请 求 客户 端 证 书 ， 但 不 尝试 验证 。 相 反 ， 它 的 期 望 外 部 服务 会 验证 证 书 
(SSL_ CLIENT_ family 变量 可 用 )。 
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注意 

使 用 可 选 的 客户 端 验 证 可 能 会 产生 问题 ,因为 有 些 浏览 器 不 提示 用 户 , 或 者 按照 此 选 

项 配置 的 其 他 方式 选择 客户 端 证 书 。 其 他 一 些 浏览 器 对 不 能 提供 证 书 的 网 站 不 进行 处 

理 , 这 也 会 有 问题 。 在 你 慎重 考虑 部 署 可 选 的 客户 端 身份 验证 之 前 ， 用 你 的 环境 需要 

的 所 有 浏览 器 做 好 测试 验证 。 

由 于 性 能 原因 ,默认 情况 下 mod_ss1 不 导出 它 的 变量 。 如 果 你 需要 的 话 , 通过 使 用 5SLOptions 
指令 配置 所 需 的 变量 来 启用 导出 : 


# 向 环境 导出 标准 的 mod_ss1 变 量 和 证 书 数据 
SSLOptions +StdEnvVars +ExportCertData 











13.14 缓解 协议 问题 


Apache 开 发 人 员 一 般 很 快 解决 TLS 协 议 相 关 的 问题 。 在 实践 中 , 由 于 大 多 数 部 署 都 是 基于 各 
种 操作 系统 发 行 的 Apache 版 本 ， 软 件 包 的 安全 性 取决 于 供应 商 。 


13.14.1 不 安全 的 重新 协商 


不 安全 的 重新 协商 是 2009 年 发 现 的 协议 漏洞 ,到 2010 年 期 间 很 大 程度 上 得 到 了 缓解 。 在 这 个 
问题 被 发 现 之 前 ，Apache 2.2.x 一 直 支 持 客户 端 发 起 的 重新 协商 。2010 年 3 月 发 布 的 版 本 2.2.15， 
不 仅 禁用 了 客户 端 发 起 的 重新 协商 , 而 且 对 安全 重新 协商 ( RFC5746 ) 也 提供 了 支持 。 Apache 2.4.x 
最 早 于 2012 年 初 发 布 ， 这 意味 着 它 没有 这 个 漏洞 。 

警告 

如 果 服 务 器 发 起 的 重新 协商 被 使 用 , 并 且 可 以 接受 不 支持 RFC 5746 的 客户 端 ,那么 禁 
用 客户 端 发 起 的 重新 协商 不 能 完全 解决 此 漏洞 。 这 是 因为 攻击 者 可 以 连接 到 服务 器 ， 
提交 请 求 并 启动 服务 器 发 起 的 重新 协商 ， 然 后 攻击 受害 者 (客户 端 )。 为 了 获得 最 佳 
的 安全 性 ， 请 检查 SSL_SECURE_RENEG 变 量 ， 以 确保 客户 端 支持 安全 的 重新 协商 。 











13.14.2 BEAST 


从 技术 上 说 , 可 预测 的 TV 漏洞 ( 其 另 一 个 名 称 “BEAST 攻 击 ” 更 为 人 所 熟知 ) 存在 于 TLS 1.0 
以 及 更 早 的 协议 中 , 它 同时 影响 通信 的 客户 端 和 服务 器 端 。 在 实践 中 ,浏览 器 是 脆弱 的 ， 因 为 利 
用 漏洞 需要 攻击 者 能 够 控制 发 送 ( 随后 加 密 ) 什么 数据 。 出 于 这 个 原因 ，BEAST 不 能 通过 服务 器 
端 补丁 解决 。 



































13.14.3 CRIME 


2012 年 CRIME 攻 击 利用 了 TLS 协 议 层 面 的 压缩 。 这 个 问题 在 协议 层面 一 直 没 有 解决 , 这 就 是 
为 什么 大 家 都 禁用 压缩 。 与 CRIME 攻 击 无 关 , Apache 在 2.2.24 版 本 ( 2013 年 2 月 ) 和 2.4.3 版 本 ( 2012 
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年 8 月 ) 中 添加 了 SSLCompression 指 令 ， 但 保留 默认 启用 压缩 。 


和 2.4.4 版 本 (2013 年 2 月 ) 中 默认 被 禁用 。 


"压缩 在 2.2.26 版 本 ( 2013 年 11 月 ) 











当 谈 到 特定 发 行 版 的 Apache, 好 消息 是 大 部 分 厂商 迄今 为 止 已 提供 了 安全 补丁 。 例 如, Debian 
在 2012 年 11 月 ?修复 了 自己 的 Apache 版 本 ，Ubuntu 是 在 2013 年 7 月 ?修复 的 。 在 Red Hat 及 其 衍生 分 
发 版 本 中 有 一 段 时 间 需 要 通过 操作 环境 变量 来 禁用 压缩 , “但 Red Hat 最 终 在 2013 年 3 月 默认 禁 























了 压缩 。” 
如 果 你 的 Apache 版 本 支持 TLS 压 缩 ， 最 好 明确 禁用 它 : 
SSLCompression off 


警告 





禁用 压缩 取决 于 OpenSSL 1.0.0 或 更 高 版 本 (SSL OP_NO COMPRESSION 配置 选项 ) 提供 的 


功能 。 较 早 版 本 的 OpenSSL 可 能 无 法 真正 禁用 压缩 。 
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由 于 HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS ) 是 通过 响应 头 进 行 激活 的 ， 
在 网 站 上 配置 它 通 常 很 容易 。 不 过 你 也 有 可 能 会 踩 到 某 些 陷 阱 , 这 就 是 为 什么 我 建议 你 在 作 任何 




















决定 之 前 阅读 10.1 节 。 






































HSTS 用 Header 指 令 启 用 。 最 好 总 是 保证 该 响应 头 对 所 有 响应 设置 ， 包 括 错误 : 


# 启用 HTTP 严 格 传输 安全 





Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" 
按照 RFC，HSTS 策 略 只 能 在 加 密 通 道 的 HTTP 响 应 中 进行 设置 。80 端 口上 的 同一 站 点 不 需要 
配置 任何 HSTS, 但 为 了 得 到 最 好 的 效果 ,需要 重 定向 到 443 端 口 。 这 将 确保 网 站 的 所 有 访问 者 一 





访问 网 站 就 切换 到 HTTPS: 


<VirtualHost *:80> 
ServerName www.example.com 
ServerAlias example.com 


# 将 所 有 访问 者 重 定向 到 加 密 的 网 站 
RedirectPermanent / https://www.example.com/ 
</VirtualHost> 








QD Bug #53219: mod ssl should allow to disable ssl compression, https://bz.apache.org/bugzilla/show_bug.cgi?id=53219 








( ASF Bugzilla，2013 年 3 月 3 日 关闭 )。 











©® DSA-2579-1 apache2 一 Multiple issues, https://www.debian.org/security/2012/dsa-2579 ( Debian，2012 年 11 月 30 日 )。 
@) USN-1898-1: OpenSSL vulnerability ，http:/www.ubuntu.com/usn/usn-1898-1/( Ubuntu 安 全 公告 ，2013 年 7 月 3 日 )。 
由 Bug #857051: SSL/TLS CRIME attack against HTTPS, comment #5, https://bugzilla.redhat.com/show_bug.cgi?id= 


857051#c5 ( Red Hat Bugzilla，2013 年 4 月 19 日 关闭 )。 























@RHSA-2013:0587-1，https:/Wrhn.redhat.comyerrata/RHSA-2013-0587.html ( Red Hat，2013 年 3 月 4 日 )。 
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13. 


16 监视 见 会 话 缓存 状态 
Apache 通 过 mod status 模 块 暴 露 TLS 会 话 缓存 的 状态 ， 这 是 一 个 鲜 为 人 知 的 事情 。 要 启用 此 























功能 ， 首 先 启用 附加 的 状态 信息 记录 ( 在 主 配 置 上 下 文中 ): 


13. 





# 请 求 跟 踪 扩 展 状 态 信息 

# 该 指令 只 有 Apache 2.2.x 需 要 

# Apache 2.4.Xx 在 mod_status 加 载 的 时 候 会 自动 启用 
ExtendedStatus On 


在 所 需 的 位 置 配 置 mod_status 的 输出 : 


<Location /status> 
SetHandler server-status 





# 限制 访问 源 IP 
# 不 希望 全 世界 都 能 看 到 敏感 的 状态 信息 
Require ip 192.168.0.1 

</Location> 


= 过 

了 二 吕 D 

mod status 的 输出 包含 敏感 数据 ， 这 就 是 为 何 你 必须 始终 限制 访问 。 最 好 的 办 法 是 通 

过 HTTP 基 本 身份 验证 ， 但 你 又 要 多 记 住 另 一 个 密码 。 像 在 我 的 例子 中 的 网 络 范围 限 
制 一 样 有 用 。 


当 你 打开 状态 页 面 ， 在 底部 会 看 到 类 似 这 样 的 输出 ( 我 加 粗 了 重点 部 分 ): 


cache type: SHMCB, shared memory: 512000 bytes, current entries: 781 
subcaches: 32, indexes per subcache: 88 

time left on oldest entries' objects: avg: 486 seconds, (range: 0...2505) 
index usage: 27%, cache usage: 33% 

total entries stored since starting: 12623 

total entries replaced since starting: 0 

total entries expired since starting: 11688 

total (pre-expiry) entries scrolled out of the cache: 148 

total retrieves since starting: 6579 hit, 3353 miss 

total removes since starting: 0 hit, 0 miss 


17 ”记录 协商 的 TLS 参数 
Web 服 务 器 日 志 机 制 默认 只 关心 HTTP 请 求 和 错误 , 不 会 告诉 你 很 多 关于 TLS 的 使 用 。 你 要 采 











紧 TLS 运 行 ， 这 主要 有 以 下 两 个 原因 。 


口 性 能 

不 正确 的 TLS 会 话 恢复 配置 可 能 导致 巨大 的 性 能 损失 , 这 就 是 你 为 何 要 关注 会 话 恢复 的 命 
中 率 。 因 此 配置 日 志文 件 是 非常 有 用 的 ， 可 以 确保 服务 器 TLS 会 话 恢复 ， 协 助 缓存 调 优 。 
只 有 Apache 2.4.x 人 允许 你 通过 SSL_ SESSION_RESUMED 环 境 变 量 实施 。 
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口 协议 和 密码 套件 使 用 
当 要 禁用 安全 性 弱 的 协议 版 本 和 密码 套件 时 ， 了 解 网 站 的 用 户 群 实际 使 用 的 协议 版 本 和 
密码 套件 是 很 重要 的 。 例 如 ，SSL 2 过 去 多 年 仍 广 受 支 持 ， 因 为 人 们 害怕 将 其 禁用 。 我 们 
现在 正面 临 着 类 似 的 问题 : SSL 3 协议 、RC4 和 3DES 加 密 。 

假如 你 使 用 的 是 Apache 2.4.x， 请 使 用 以 下 指令 来 监控 TLS 连 接 : 


# 使 TLS 变 量 对 日 志 记 录 模 块 可 用 
SSLOptions +StdEnvVars 

















# 将 每 个 请 求 的 TLS 信 息 记录 到 单独 的 日 志文 件 
CustomLog /path/to/ssl.log "%t %h %k %X %{SSL PROTOCOL}e\ 
%{SSL CIPHER}e %{SSL SESSION ID}e %{SSL SESSION RESUMED}e" 


请 注意 以 下 几 点 : 
口 当 一 个 会 话 恢复 后 才 会 记录 会 话 ID ， 并 不 会 在 初次 请 求 中 记录 。 
口 SSL_SESSION_RESUMED 变 量 : 新 的 会 话 为 Initial， 人 恢复 的 会 话 为 Resumed。 
口 ‰k 变 量 记 录 在 同一 连接 中 的 请 求 数 。 如 果 你 在 日 志 条 目 中 看 到 一 个 零 ， 就 知道 是 它 的 第 
一 个 请 求 ， 正 是 被 记录 的 这 一 次 。 
D ”变量 记录 请 求 结 束 时 的 连接 状态 。 破 折 号 意味 着 连接 将 被 关闭 ， 而 加 号 意味 着 连接 将 

保持 打开 状态 。 

Apache 的 日 志 记录 功能 与 我 们 跟踪 TLS 处 理 的 需求 之 间 在 细节 方面 有 轻微 的 不 匹配 。TLS 连 

接 参 数 一 般 在 连接 的 开始 设置 , 期间 不 会 改变 , 除非 发 生 重新 协商 。ApacheCustomLog 指 令 处 理 请 
求 ， 这 意味 着 对 于 许多 HTTP 事 务 的 长 连接 ， 你 会 得 到 多 个 几乎 相同 的 日 志 条 目 。%k 变 量 在 跟踪 
这 一 点 方面 很 有 用 。 一 方面 ,这 将 使 日 志 快 速 增长 。 另 一 方面 ， 记 录 每 一 笔 事 务 可 以 帮助 你 确定 
连接 的 恢复 率 ， 这 对 HTTP 和 TLS 操 作 都 是 最 有 效 的 方式 。 


注意 
目前 还 没有 办 法 记录 TLS 握 手 成 功 , 但 没有 任何 请 求 的 连接 , 同样, 也 不 可 能 记录 TLS 
握手 失败 。 


13.18 ”使 用 mod sslhaf 的 高 级 日 志 记 录 


Apache 的 日 志 记 录 功 能 允许 你 确定 连接 使 用 的 TLS 参 数 , 但 不 提供 除 此 之 外 的 任何 信息 。 例 
如 ,你 不 知道 每 个 客户 端 提供 的 最 高 协议 版 本 和 密码 套件 。 如 果 有 了 这 些 信息 ,就 可 以 确定 用 户 
的 能 力 并 实现 最 佳 TLS 配 置 ， 而 无 需 经 过 试 错 的 痛苦 过 程 。 
为 了 回答 这 些 类 似 的 问题 ,我 编写 了 一 个 叫 mod_ss1 的 Apache 模 块 。 此 模块 并 不 是 深入 Apache 
的 钧 子 ; 相反 ， 它 以 被 动 方式 观察 并 解析 所 有 TLS 连 接 来 提取 客户 端的 能 力 。 它 可 以 提供 以 下 有 
趣 的 信息 。 
口 支持 的 最 高 协议 版 本 
口 已 提供 的 密码 套件 列表 
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口 已 使 用 的 TLS 扩 展 列表 ， 特 别 是 以 下 几 项 
a SNI 扩 展 的 可 用 性 
a 对 会 话 票 证 的 支持 
m 对 OCSP stapling 的 支持 
除 上 述 外 ，mod_ss1 也 可 以 记录 整个 原始 的 ClientHello， 这 对 进行 自 定义 握手 的 分 析 是 非常 
有 用 的 。 还 有 一 个 名 为 SSLHAF_L0G 的 特殊 变量 ， 它 只 对 一 个 连接 上 的 第 一 个 请 求 设置 。 这 个 变量 
旨 在 与 Apache 的 条 件 日 志 记录 功能 一 起 工作 , 可 以 让 你 记录 每 个 连接 只 需 一 条 日 志 记 录 ( 从 而 节 
省 了 大 量 的 磁盘 空间 )。 
安装 mod_sslhaf 很 简单 。 它 没有 正式 的 发 行 版 ， 所 以 必须 使 用 git 来 克隆 源 代码 存储 库 : 
$ git clone https://github.com/ssllabs/sslhaf.git 
因为 模块 很 小 (大约 只 有 1000 行 代码 ), 文档 包含 在 源 代码 本 身 之 中 , 在 文件 mod_sslhaf.c 中 。 
要 编译 模块 ， 执 行 下 面 的 命令 : 
$ apxs -cia mod sslhaf.c 
命令 行 开关 c、i、a 代 表 编 译 (compile )、 安 装 ( install ) 和 激活 ( activate )。 根 据 你 的 配置 
文件 ,激活 有 时 可 能 会 失败 。 在 这 种 情况 下 ,模块 通过 添加 以 下 行 来 配置 手动 激活 ( 当然 要 使 用 
系统 的 正确 路 径 ): 
LoadModule sslhaf module /path/to/modules/mod sslhaf.so 
下 面 的 配置 使 用 所 有 mod_sslhaf 功 能 并 记录 最 重要 的 数据 点 ， 但 每 个 连接 只 有 一 次 : 


# 使 TLS 变 量 对 日 志 记 录 模 块 可 用 
SSLOptions +StdEnvVars 



























































# 将 每 个 请 求 的 TL5 信 息 记录 到 单独 的 日 志文 件 

CustomLog /path/to/ssl.1log "%t %h %k %X %{SSL_PROTOCOLje' 

%{SSL CIPHER}e %{SSL SESSION ID}e %{SSL SESSION RESUMED}e |\ 
%{SSLHAF HANDSHAKE}e %{SSLHAF PROTOCOL}e %{SSLHAF SUITES}e\ 
%{SSLHAF_ EXTENSIONS LEN}e %{SSLHAF EXTENSIONS}e \"%{User-Agent}i\""\ 
env=SSLHAF LOG 


此 日 志 格 式 与 13.17 节 中 所 使 用 的 格式 是 相同 的 ; 在 字符 之 后 附加 mod_sslhaf 提 供 的 信息 。 
提示 

大 多 数 人 永远 不 会 考虑 分 析 原 始 的 ClientHello 记 录 ， 这 就 是 我 没有 在 日 志 格式 中 包 
含 它 的 原因 。 毕 竟 ， 它 会 占用 很 多 空间 ， 并 且 会 影响 日 志 记录 的 性 能 。 如 果 你 想 跟踪 
此 数据 ， 可 以 查看 它 所 在 的 变量 SSLHAF_RAW。 
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本 章 重点 介绍 了 Java 平 台 的 TLS 功 能 ,包括 不 同 版 本 功能 的 演进 , 但 主要 集中 在 Java 7 和 Java 
8。 我 会 从 平台 文 持 的 加 密 特 性 开始 讨论 ， 然 后 介绍 客户 端 和 服务 器 相关 的 部 署 和 配置 ， 最 后 再 
来 讨论 非常 流行 的 Java Web 服 务 器 Tomcat。 








14.1 _ Java 加密 组 件 


在 Java 中 ， 需 要 以 下 多 个 组 件 的 协同 工作 才能 提供 完整 的 SSL 和 TLS 协 议和 相关 功能 。 

口 Java Cryptography Architecture ( JCA ) 
JCA 提 供 了 所 有 和 加 解密 相关 的 统一 架构 。 概 念 上 讲 ，JCA 只 是 一 组 抽象 的 API， 并 没有 
实际 的 代码 。JCA 的 核心 思想 是 ， 人 允许 任意 数量 的 Provider， 针 对 API 来 实现 具体 的 功能 。 

口 Java _ Certification Path API 
Java Certification Path API ( 在 Java 参 考 文档 中 通常 称 为 CertPath ) 负责 处 理 证 书 以 及 证 书 
路 径 相关 的 所 有 功能 。 就 SSL/TLS 而 言 ，CertPath 提 供 了 处 理 X.509 证 书 路 径 的 API 并 符合 
PKIX 标 准 ， 大 多 数 SSL/TLS 部 署 都 依赖 PKIX 来 建立 信任 。 

口 Java Secure Socket Extension ( JSSE ) 
JSSE 是 处 理 SSL 和 TLS 协 议 的 组 件 ， 基 于 JCA 提 供 的 加 密 算法 和 其 他 相关 API。JSSE 也 是 
以 一 组 API 提 供 服务 ， 人 允许 不 同 的 实现 〈 可 替换 性 )。 

口 JCA Provider 
Java 自 带 了 一 些 Provider， 已 经 实现 了 各 种 加 密 算法 ， 要 安装 新 的 Provider 也 很 容易 。 默 认 

配置 对 大 多 数 情况 已 经 足够 使 用 ， 如 果 需 要 启用 某 个 特殊 功能 或 者 性 能 调 优 ， 也 可 以 明 
确 指定 需要 使 用 和 配置 的 Provider。 

口 keytool 
Java 不 是 将 密 钥 和 证 书 存储 在 独立 的 文件 中 , 而 是 将 它们 打包 放 在 一 个 存储 单元 中 , 这 种 
存储 单元 被 称 为 密 钥 库 ( keystore )。 要 管理 密 钥 库 中 的 内 容 ， 你 需要 使 用 JDK 提 供 的 
keytool 工 具 。 

口 Java Root Certificates Store 
作为 一 个 TLS 库 ， 如 果 没 有 包含 可 信 证 书 ， 也 就 是 常 说 的 根 (root ) 或 者 根 证 书 (root 
certificate )， 那 在 公共 互联 网 上 根本 用 不 起 来 。 根 证 书 的 集合 也 被 称 为 可 信 证 书库 (trust 
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store )，JVM 厂 商 通常 维护 着 自己 的 可 信 证 书库 并 随 产 品 一 起 发 布 。” 
在 本 节 中 ， 我 的 日 标 是 为 你 提供 所 有 与 SSL/TLS 相 关 的 信息 。 如 果 你 需要 更 深入 的 了 解 ， 建 
议 直接 查询 Java 72 和 Java 8 的 参考 文档 。 


14.1.1 无 限制 的 强加 密 


Java 加 密 强 度 可 以 有 两 种 运行 模式 ， 两 个 模式 下 的 代码 是 完全 相同 的 ， 但 通过 配置 加 上 了 不 
同 限制 。 上 默认 情况 下 ， 所 有 安装 都 是 在 强加 密 模 式 ( strong mode ) 下 进行 的 ， 但 是 有 一 定 限制 ， 
以 符合 美国 密码 学 出 口 限制 。 在 这 种 模式 下 ，AES 密 码 被 限制 为 128 位 。 另 外 一 种 模式 称 为 无 限 
制 加 密 强 度 (unlimited strength )， 没 有 任何 人 为 的 限制 。 默 认 模式 对 大 多 数 情况 都 已 经 够 用 ， 但 
是 仍然 推荐 使 用 无 限制 的 强加 密 模式 ,以 避免 在 某 些 特殊 场景 下 出 现 互 操作 性 问题 ( 我 会 在 本 章 
后 续 部 分 详细 讨论 这 些 问 题 )。 

如 果 想 启用 无 限制 模式 (例如 需要 实现 一 个 SSL 评 估 工 具 ， 这 个 模式 就 很 有 用 ， 因 为 你 需要 
使 用 尽量 多 的 密码 套件 来 做 评估 )， 你 需要 从 Oracle 网 站 上 下 载 特殊 策略 文件 "， 并 按照 安装 说 明 
将 它们 部 署 在 磁盘 的 指定 路 径 下 。 


注意 

在 有 些 系统 中 ， 可 能 安装 和 使 用 了 多 个 Java 包 ， 确 保 你 修改 的 是 正确 的 那个 或 者 修改 
所 有 部 署 。 即 使 系统 只 安装 了 一 个 版 本 ，JDK 和 JRE 通 常 也 在 不 同 目录 下 ， 需 要 分 别 
修改 。® 

























































































14.1.2 ”Provider 配置 


Java 安 装 包 自 带 了 众多 的 Provider, 有 些 是 通用 的 , 有 些 是 具体 平台 专用 的 。 Oracle 的 SSL/TLS 
实现 ( SunJSSE ) 是 通用 Provider 的 良好 样 例 ， 同 样 的 一 份 代码 适用 于 所 有 平台 。 与 之 相反 ， 
SunMSCAPI Provider 则 是 Windows 操 作 系 统 上 的 专用 组 件 ， 封 装 了 加 密 功 能 的 接口 。 

除了 极 少 数 情 况 以 外 ， 一 般 你 无 需 修改 Provider 的 配置 。 如 果 你 有 特定 的 功能 需求 或 者 想 尝 
试 提高 性 能 ， 例 如 在 下 列 情况 下 。 



























































Q Including Certificate Authority Root Certificates in Java, http:/www.oracle.com/technetwork/java/javase/javasecaroo- 
tcertsprogram-1876540.html ( Oracle， 检 索 于 2014 年 7 月 1 日 )。 

©® Java SE 7 Security Documentation http://docs.oracle.com/javase/7/docs/technotes/guides/security/ ( Oracle, 检索 于 2014 

年 7 月 2 日 )。 

@) Java SE 8 Security Documentation http://docs.oracle.com/javase/8/docs/technotes/guides/security/ ( Oracle, 检索 于 2014 

年 7 月 2 日 )。 

由 JCE Unlimited Strength Jurisdiction Policy Files for Java 7 and Java 8 (http:/www.oracle.com/technetwork/java/javase/ 
downloads/jce-7-download-432124.html, http:/www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166. 
html )，( Oracle， 检 索 于 2014 年 7 月 2 日 )。 

© Patch-in-Place and Static JRE Installation http://docs.oracle.com/javase/7/docs/webnotes/install/windows/patch-in-place- 
and-static-jre-installation.html ( Java Platform Standard Edition 7 Documentation ， 检 索 于 2014 年 7 月 2 日 )。 
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口 性 能 调 优 
Java 内 置 的 加 密 功 能 并 不 是 天 然 更 慢 "， 但 在 实践 中 Java 可 能 也 不 是 性 能 最 好 的 平台 。 有 
一 些 证 据 表 明 ， 使 用 OpenSSL 和 NSS 可 以 提高 加 密 性 能 ， 其 中 一 个 案例 中 的 Intel 测 试用 例 
声称 ，Java 在 使 用 NSS 库 时 性 能 有 38% 的 提升 。? 
口 FIPS 模 式 
Java 支 持 FIPS， 但 是 需要 使 用 经 过 FIPS 认 证 的 外 部 Provider，Mozilla 的 NSS 是 其 中 之 一 。 
Provider 的 可 替换 性 在 你 遇 到 bug 或 实现 限制 时 十 分 有 用 , 理论 上 讲 , 你 可 以 通过 更 换 Provider 
来 解决 这 些 问题 ， 但 通常 这 么 做 你 可 能 只 是 从 一 组 bug 和 限制 转换 到 另外 一 组 bug 和 限制 。 


















































14.1.3 ”功能 概述 


Java 的 SSL/TLS 实 现 历 来 比较 保守 ,一 些 核心 的 协议 功能 实现 都 相对 较 晚 (参见 表 14-1 )。 在 
这 个 意义 上 说 ，Java 库 和 其 他 平台 十 分 相似 ( 除了 Microsoft 的 平台 以 外 )。 例 如 ，Java7 中 已 经 支 
持 客 户 端的 虚拟 安全 主机 功能 , 但 是 直到 Java 8 中 才 支 持 服务 器 端的 这 一 功能 。 类 似 地 , 尽管 TLS 
1.2 在 Java 7 中 已 经 加 入 支持 ,但 直到 在 Java 8 中 才 被 默认 启用 。 


表 14-1 JSSE 中 SSL/TLS 的 功能 演进 
Java 5 (2004 年 5 ”Java 6 (2006 年 12 ”Java7(2011 年 7 Java 8 (2014 年 




































































月 -2009 年 10 月 ) 月 -2013 年 2 月 ) 月 -2015 年 4 月 ) 3 月 - ) 
椭圆 曲线 加 密 否 ” 是 ? 是 是 
客户 端 SNI 一 一 是 是 
服务 器 端 SNI 亏 _ 了 是 
TLS 1.1 和 1.2 写 = 是 " 是 
AEAD GCM 套 件 本 了 可 是 
SHA256 和 SHA384 套 件 一 一 是 是 
大 于 1024 的 DH 算法 (客户 端 ) 一 一 一 是 
大 于 768 的 DH 算法 (服务 器 ) 一 一 一 是 
安全 重新 协商 U26+ 122+ 是 是 
BEAST 修 复 (1/n-1 拆 分 ) 一 u29+ Ul+ 是 


OCSP stapling 加 9 


服务 器 端 密码 套件 优先 z 是 

禁用 客户 端 重新 协商 - 是 14 
re . - 部 分 支持 : 

默认 客户 端 握手 格式 v2 v2 v3 3 



































最 佳 性 能 通常 需要 手动 的 汇编 和 优化 ，Java 平 台 包 含 了 大 量 的 本 地 库 和 汇编 代码 ， 其 中 有 的 被 用 于 加 密 操作 。 例 
如 ，Java 8 对 Intel 和 AMD 处 理 器 增加 了 AES 加 速 的 汇编 代码 。 

© Improved AES Crypto performance on Java with NSS using Intel” AES-NI Instructions, https://software.intel.com/en-us/ 
articles/improved-advanced-encryption-standard-aes-crypto-performance-on-java-with-nss-using-intel ( Intel whitepaper, 
2012 年 4 月 6 日 )。 
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a Java 5 中 ，JCA 提 供 了 EC API 但 未 实现 。 

b Java 6 中 ，JSSE 加 入 了 EC 套件 支持 ， 但 JDK 没 有 实现 任何 EC 算法 。 唯 一 默认 支持 EC 套件 的 平台 是 Solaris， 提 供 了 本 地 
EC 功能 并 通过 PKCS#11 集 成 到 Java 中 。 

c Java 7 正式 版 由 SunEC provider 实 现 了 EC 算法 ， 然 而 OpenJDK 中 并 未 加 入 这 一 组 件 ， 要 支持 EC， 可 以 使 用 第 三 方 库 ( 例 
如 BouncyCastle)， 或 者 通过 PKCS#11 集 成 一 个 本 地 库 。 

d 客户 端 模式 下 默认 禁用 ， 服 务 器 端 模 式 下 默认 启用 。 

e 默认 仅 支 持 1024 位 ， 但 是 可 以 增加 到 2048 位 。 

f JEP 164: Leverage CPU Instructions for AES Cryptography, http://openjdk.java.net/jeps/164 (OpenJDK 网 站 ) 。 


14.1.4 ”协议 漏洞 


最 新 的 Java 版 本 已 经 修复 了 所 有 已 知 的 SSL/TLS 漏 洞 。 尽 管 Java 安 全 补丁 发 布 得 很 频繁 , 但 
大 部 分 漏洞 实际 只 影响 客户 端 软件 , 因此 服务 器 端 安装 包 通 常 很 长 时 间 才 需要 更 新 一 次 。 然 而 偶 
尔 也 有 服务 器 端 bug 的 修复 ， 有 时 甚至 是 加 密 库 的 问题 。 例 如 2014 年 4 月 发 布 的 补丁 修复 了 JSSE 
中 的 一 个 严重 缺陷 。” 
升级 服务 器 Java 的 另 一 个 原因 是 更 新 系统 可 信 证 书库 , 可 能 影响 需要 与 外 部 通信 的 Web 应 用 。 
口 不 安全 的 重新 协商 
Oracle 在 2010 年 3 月 30 日 发 布 了 一 个 禁用 重新 协商 的 临时 补丁 >, 用 于 解决 不 安全 重新 协商 
问题 ， 之 后 在 2010 年 10 月 12 日 发 布 的 Java 5u26 和 Java 6u22 中 ， 正 式 支持 了 安全 重新 协商 
功能 。Java 7 和 更 高 版 本 在 首发 时 就 已 经 支持 安全 重新 协商 。 
与 其 他 客户 端 软 件 类 似 ，Java 客 户 端 会 连接 到 不 支持 安全 重新 协商 的 服务 器 ， 这 很 危险 ， 
因为 客户 端 无 法 检测 到 不 安全 重新 协商 的 攻击 行为 ， 即 使 客户 端 本 身 已 经 实现 了 安全 重 
新 协商 也 无 济 于 事 。 另 外 一 种 选择 是 只 允许 客户 端 连 接 到 支持 安全 重新 协商 的 服务 器 ， 
代价 就 是 你 将 无 法 与 不 支持 安全 重新 协商 的 服务 器 建立 连接 。” 









































































































































口 BEAST 
为 了 解决 BEAST 攻 击 问题 ，Java 从 Java6u29 和 Java7ul 开 始 已 经 实现 了 1/p-] 数 据 包 拆 分 的 方法 。 
口 CRIME 























CRIME 攻 击 利 用 的 是 压缩 中 的 信息 泄露 ，Java 从 未 支持 过 TLS 上 的 压缩 ， 也 就 意味 着 Java 
客户 端 不 受 CRIME 的 影响 。Java Web 应 用 可 能 会 受到 CRIME 的 TIME/BREACH 变 种 的 影 
响 ， 这 两 个 变种 攻击 的 是 HTTP 响 应 体 本 身 的 压缩 。 


14.1.5 互 操 作 性 问题 
Java 在 服务 器 模式 时 ， 你 不 太 可 能 遇 到 互 操作 性 问题 ，Java 支 持 多 种 协议 和 密码 套件 ， 理 论 














QD Easter Hack: Even More Critical Bugs in SSL/TLS Implementations http://armoredbarista.blogspot.co.uk/2014/04/easter- 
hack-even-more-critical-bugs-in.html ( Chris Meyer，2014 年 4 月 16 日 )。 

© Transport Layer Security (TLS) Renegotiation Issue Readme, http:/www.oracle.com/technetwork/java/javase/documen- 
tation/tlsreadme2-176330.html ( Oracle， 检 索 于 2014 年 7 月 2 日 )。 

@ 根据 2014 年 7 月 SSL Pulse 的 分 析 结 果 ， 所 有 测试 网 站 中 大 约 有 11.6% 不 支持 安全 重新 协商 。 
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上 你 可 以 与 所 有 客户 端 通信 。 
对 客户 端 来 说 情况 就 完全 不 同 ， 其 中 以 下 几 个 潜在 问题 需要 特别 注意 。 
口 根 证 书 缺失 
了 RE 发 布 自 带 的 根 证 书 ， 可 以 让 Java 客 户 端 在 遇 到 不 认识 的 网 站 时 通信 成 功 。 随 着 时 间 的 
变化 ,， 老 的 根 证 书 会 过 期 ， 新 的 根 证 书 会 加 入 。 如 果 某 个 网 站 使 用 过 了 一 个 不 在 可 信 证 
书库 中 的 根 证 书 ， 你 就 无 法 连接 到 这 个 网 站 。 如 果 你 没有 定期 更 新 耻 E， 可 信和 根 证 书库 就 
会 过 时 从 而 造成 连接 失败 ， 而 老 的 证 书库 有 可 能 还 包含 已 经 失信 的 根 证书 。 此 外 ， 某 些 
情况 下 官方 的 可 信 证 书库 可 能 没有 包含 你 希望 信任 的 根 证 书 ， 这 时 就 需要 手动 将 根 证 书 
添加 到 证 书库 中 。 
口 服务 器 只 支持 256 位 密码 套件 
有 极 少 数 网 站 被 配置 成 了 只 支持 256 位 密码 套件 ， 如 果 耻 E 没 有 更 新 到 无 限制 模式 〈 即 只 
文 持 128 位 AES )， 你 的 客户 端 就 无 法 访问 这 部 分 网 站 。 
口 大 于 1024 位 的 DH 参 数 
Java 8 之 前 的 所 有 版 本 都 只 支持 最 大 1024 位 的 客户 端 Diffie-Hellman ( DH ) 参数 ， 尽 管 现 
在 还 只 有 少数 服务 器 使 用 了 更 强 的 加 密 位 数 ，1024 位 的 DH 参数 仍然 被 视 为 不 安全 的 ， 部 
署 更 强 的 加 密 位 数 是 一 个 趋势 。 
口 小 于 1024 位 的 RSA 密 铀 
从 7u40 开 始 ，Java 拒 绝 连 接 到 还 在 使 用 小 于 1024 位 RSA 密 钥 的 服务 器 。 可 以 通过 修改 
jdk.certpath.disabledAlgorithms 属 性 来 绕 过 这 个 限制 ， 但 通常 来 说 这 不 是 一 个 好 主意 。 
口 RC4 的 使 用 
从 8u51 开 始 ，Java 从 默认 的 客户 端 和 服务 器 配置 中 删除 了 RC4 算 法 ”， 这 一 变化 会 导致 与 
互联 网 上 一 小 部 分 只 支持 RC4 算 法 的 服务 器 连接 失败 。 如 果 确 实 有 必要 ,可 以 通过 修改 配 
置 来 明确 启用 RC4， 和 否则 不 推荐 这 么 做 。 
口 MD2 算 法 的 根 证 书 
同样 从 7u40 开 始 , Java 已 不 再 接受 MD2 签 名 的 证 书 。 目前 还 有 一 小 部 分 服务 器 在 证 书 链 中 
包含 了 MD2 证 书 ， 从 而 导致 TLS 连 接 失 败 。 尽 管 可 以 在 代码 中 重 载 MD2 的 拒绝 行为 ， 但 
这 只 应 该 用 作 你 最 后 的 手段 。 




































































更 严格 的 算法 限制 
Java 证 书 链 路 中 的 默认 算法 限制 ， 可 以 通过 禁用 所 有 不 安全 的 算法 和 密 钥 大 小 来 加 以 改 
进 ， 从 而 提高 安全 性 。 建 议 为 jdk.certpath.disabledAlgorithms 安 全 属性 使 用 以 下 设置 。 
MD2, MD5, RSA keySize < 2048, DSA keySize < 2048, EC keySize «< 256 








QD JDK 8u51 Update Release Notes, http://www.oracle.com/technetwork/java/javase/8u5S1-relnotes-2587590.html ( Oracle, 
2015 年 7 月 14 晶 )。 
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这 些 限制 不 一 定 会 影响 你 的 可 信 根 证 书 。 为 了 达到 最 佳 效 果 ， 应 该 检查 所 有 的 根 证 书 并 
移 除 弱 算 法 的 证 书 (使 用 上 述 条 件 )。 





14.1.6 属性 配置 调 优 


Java 公 开 了 大 量 系统 和 安全 属性 ， 可 以 用 来 调整 默认 的 加 密 设 置 。 在 本 节 中 ， 我 选择 了 一 组 
最 有 用 的 设置 (参见 表 14-2 )， 你 可 以 在 JSSE 文 档 中 找到 完整 的 属性 列表 。” 


表 14-2 ”对 于 SSL/TLS 和 PKI 调 优 最 有 用 的 系统 和 安全 属性 















































































































































作 用 属性 名 称 说 明 
HttpsUrlConnection 使 用 的 ”https.protocols 以 逗号 分 隔 的 指定 协议 列表 , 例如 ,TLS 1.1、 
默认 客户 端 协议 TLSv1.2 。 从 Java 8 开始 可 以 用 jdk.tls. 
client.protocols 来 配置 所 有 SunJSSE 客 户 端 

HttpsUrlConnection 使 用 的 ”https.cipherSuites 以 有 逗号 分 隔 的 指定 密码 套件 列表 ， 供 

默认 密码 套件 HttpsUrlConnection 使 用 

启用 Server Name Indication jsse.enableSNIExtension Java7 及 以 后 版 本 已 默认 启用 ,无 需 禁 用 除非 

(SNI) 遇 到 不 兼容 问题 

允许 不 安全 重新 协商 sun.security.ssl.allowUnsafeR 默认 禁用 ， 谨 慎 使 用 

enegotiation 
允许 客户 端 不 安全 重新 协商 sun.security.ssl.allowLegacy 默认 启用 已 兼容 未 升级 的 TLS 客 户 端 , 理想 情 
HelloMessages 况 下 应 该 禁用 但 可 能 引起 连接 问题 

禁用 算法 套件 jdk.tls.disabledAlgorithms 一 个 方便 的 设置 ， 用 于 禁用 某 些 算法 而 无 需 
更 改 应 用 源 代码 。 安 全 属性 

禁用 证 书 算法 jdk.certpath. disabledAlgorithms 证 书 算法 限制 。 此 参数 的 文档 在 java. security 
文件 中 。 安 全 属性 

重建 不 完整 的 证 书 链 com.sun.security.enableAIAcalssuers ”启用 时 Java 客 户 端 在 遇 到 不 完整 的 证 书 链 时 
会 根据 已 有 的 AIA 信 息 尝 试 补 全 ， 默 认 禁 用 

启用 证 书 吊销 检查 com. sun.net.ssl.checkRevocation 默认 禁用 ， 启 用 时 需要 同时 启用 CRL 或 者 
OCSP 

启用 OCSP 吊 销 检查 ocsp.enable 启用 时 Java 客 户 端 会 使 用 OCSP 来 检查 证 书 吊 
销 信息 ， 默 认 禁 用 。 人 安全 属性 

启用 CREL 吊 销 检 查 com. sun.security.enableCRLDP 启用 时 Java 客 户 端 会 使 用 CRL 来 检查 证 书 吊 

















销 信息 ， 默 认 禁 用 ， 如 果 OCSP 同 时 被 启用 则 
优先 使 用 OCSP。 安 全 属性 














表 14-3 列 出 了 Java 8 中 新 增加 的 一 些 属 性 。 
表 14-3 Java 8 中 新 增 的 系统 属性 
































作 “用 属性 名 称 说 明 
禁用 客户 端 不 安全 重 ”jdk.tls.rejectClientInitiated 设置 为 true 禁 用 客户 端 不 安全 重新 协商 ， 本 书写 作 
新 协商 Sneg0 Ton 时 尚 无 公开 文档 











QD Customizable Items in JSSE, http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html# 
InstallationAndCustomization ( JSSE 8 Reference Guide， 检 索 于 2014 年 7 月 2 日 )。 





14.1 Java 加 密 组 件 355 



































( 续 ) 
作 用 属性 名 称 说 明 
配置 服务 器 Diffie- jdk.tls.ephemeralDHKeySize 未 定义 时 使 用 1024 位 ,设置 为 legacy 时 兼容 Java 7 的 
Hellman 密 钥 强 度 行为 自动 匹配 密 钥 长 度 ， 也 可 以 设置 为 1024 到 2048 
之 间 的 一 个 固定 值 
默认 SunJSSE 客 户 端 “jdk.tls.client.pTotocols 作用 与 https.protocols 类 似 ， 但 影响 所 有 SunJSSE 
协议 客户 端 ， 而 不 是 仅 限 于 HttpsUrlConnection 
指定 老 旧 TLS 算 法 jdk.tls. legacyAlgorithms 只 有 在 无 更 好 选择 可 用 的 情况 下 ， 该 属性 中 列 出 的 
算法 和 套件 才 会 协商 。 该 属性 默认 包含 NULL、 出 

















、 匿 名 、RC4 和 DES 算 法 。 人 安全 属性 ， 自 8u51 起 
可 用 

















系统 属性 (System property ) 和 安全 属性 ( security property ) 很 类 似 ， 但 两 者 的 配置 方法 不 
同 。 有 两 种 方法 可 以 用 来 设置 系统 属性 ， 第 一 种 就 是 通过 JVM 命 令 行 的 -0 开关， 例如 : 

$ java -Dhttps.protocols=TLSv1 myMainClass 

或 者 可 以 在 运行 代码 中 直接 使 用 System. setProperty() 方 法 : 

System.setProperty("https.protocols", "TLSv1"); 

安全 属性 则 不 同 ， 一 般 是 通过 修改 $JAVA_HOME/lib/security/java.security 文 件 来 配置 的 。 如 
果 想 通过 命令 行 重 载 某 些 设置 ， 那 么 在 满足 以 下 两 个 条 件 的 情况 下 是 可 行 的 。 

(1) 主 配置 文件 中 的 security.overridePropertiesFile 设 置 为 true ( 默认 值 )。 

(2) 不 能 在 命令 行 中 指定 一 个 单独 的 属性 ， 相 反 ， 你 需要 创建 一 个 属性 文件 包含 所 有 需要 重 
载 的 属性 。 

如 果 满 足以 上 两 个 条 件 ， 你 可 以 用 以 下 命令 来 重 载 默认 安全 属性 。 

$ java -Djava.security.properties=/path/to/my/java.security-overrides 

此 外 , 还 有 一 个 未 正式 公开 的 特性 可 以 用 来 指定 另 一 个 完整 的 安全 配置 文件 ( 而 不 仅仅 是 重 
载 部 分 默认 属性 )， 通 过 使 用 两 个 等 号 : 

$ java -Djava.security.properties==/path/to/my/java.security 

在 运行 时 ， 你 可 以 通过 Security.setProperty 方 法 来 设置 一 个 安全 属性 ， 例 如 要 改进 默认 的 
加 密 强度 策略 ， 你 可 以 这 样 设置 : 


Security.setProperty("jdk.certpath.disabledAlgorithms", 
"MD2, MD5, RSA keySize < 2048, DSA keySize < 2048, EC keySize < 256"); 





















































加 



































‘ER 


Eee 
在 运行 时 设置 属性 是 不 可 靠 的 , 有 些 类 只 会 在 启动 时 获取 属性 值 并 一 直 使 用 ,因此 不 
受 运行 时 属性 变化 的 影响 。 为 了 避免 混乱 ,建议 只 通过 命令 行 开关 或 修改 配置 文件 的 


全 


14.1.7 常见 错误 消息 
当 有 意外 发 生 时 , JSSE 会 引发 异常 , 但 错误 消息 使 用 的 语言 往往 过 于 技术 性 并 且 不 能 提供 足 
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够 的 信息 来 帮助 解决 问题 。 本 节 中 会 介绍 常见 的 JSSE 错 误 消 息 以 及 处 理 这 些 错误 的 选项 。 
1. 证 书 链 问 题 
当 Java 客 户 端 在 连接 到 服务 器 后 证 书 验证 失败 时 ， 会 引发 以 下 异常 : 


javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path 
building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find 
valid certification path to requested target 


关于 这 个 问题 的 根本 原因 ， 基 本 上 有 以 下 几 种 情况 。 
口 未 知 证 书 颁 发 者 
服务 器 的 证 书 是 由 一 个 Java 客 户 端 不 认识 的 CA 所 签发 ， 这 可 能 是 因为 你 的 可 信 证 书库 配 
置 已 过 时 而 没有 更 新 到 新 加 入 的 CA, 也 可 能 是 因为 服务 器 使 用 的 是 一 个 自选 的 CA (没有 
被 公共 网 络 所 认可 )。 如 果 你 确信 该 CA 是 可 信 的 , 就 可 以 把 它 加 入 到 你 的 可 信 证 书库 中 来 
解决 问题 。 除 此 之 外 ， 信 任 任何 一 个 未 知 根 证 书 都 是 不 推荐 的 。 一 旦 加 入 ， 这 个 CA 就 可 
以 冒充 世界 上 任意 一 个 网 站 了 。 
口 不 完整 的 证 书 链 
尽管 我 们 花 了 很 多 时 间 来 讨论 服务 器 证 书 , 但 在 实际 环境 中 需要 配置 的 是 完整 的 证 书 链 。 
如 果 一 个 服务 器 的 证 书 链 缺 失 ， 客 户 端 就 无 法 建立 一 个 到 可 信和 根 证 书 的 路 径 ， 解 决 方法 
是 确保 在 服务 器 上 配置 正确 的 证 书 链 。 
有 时 候 不 完整 的 证 书 链 可 以 通过 证 书 中 的 颁发 机 构 信 息 访 问 (authority information access， 
AIA ) 扩展 信息 来 加 以 补 全 ， 其 中 包含 了 上 级 证 书 的 下 载 URL。Java 默 认 并 不 支持 AIA 扩 
展 ， 启 用 这 个 特性 需要 将 com.sun.security.enableAIAcalssuers 属 性 设置 为 true。 
口 自 签名 证 书 
有 不 少 服务 器 是 通过 自 签名 证 书 来 运行 的 。 如 果 它 们 希望 向 公众 开放 服务 ， 这 种 方式 是 
不 可 行 的 ; 如 果 不 打算 向 公众 开放 服务 则 问题 不 大 ， 可 以 通过 将 该 证 书 加 入 到 信任 列表 
白 名 单 中 来 解决 问题 。 
警告 
与 很 多 互联 网 上 找到 的 “解决 方案 ”相反 ， 你 绝 不 应 该 在 代码 中 禁用 证 书 校 验 来 解决 
自 签名 证 书 问题 。 如 果 这 样 做 ， 你 的 程序 在 遭遇 中 间 人 攻击 时 就 惨 了 。 简 单 来 说 ， 就 
是 所 有 人 都 可 以 用 任意 证 书 来 冒充 你 需要 访问 的 网 站 。 
2. 服务 器 主机 名 不 匹配 
当 使 用 TLS 连 接 到 Web 服 务 器 时 ,正常 情况 下 URL 中 的 主机 名 应 该 与 证 书 中 的 主机 名 相 匹 配 。 
如 果 出 现 不 匹配 的 情况 ， 就 会 引发 以 下 异常 : 


javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching 
beta.feistyduck.com found 


解决 方案 很 简单 ， 安 装 正确 的 证 书 并 补 全 缺少 的 主机 名 。 
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3. 客户 端 Diffie-Hellman 限 制 

所 有 Java 8 之 前 的 版 本 ,都 只 支持 最 大 1024 位 的 Diffie-Hellman ( DH ) 参数 。 如 果 运 行 于 这 些 
版 本 的 Java 客 户 端 ， 遇 到 了 使 用 大 于 1024 位 (通常 就 是 2048 位 ) DH 参数 的 服务 器 ， 就 会 得 到 以 
下 异常 : 


javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair 


























Caused by: java.lang.RuntimeException: Could not generate DH keypair 


Caused by: java.security.InvalidAlgorithmparameterException: Prime size must be multiple of 64， 
and can only range from 512 to 1024 (inclusive) 


如 果 你 对 访问 异常 的 服务 器 有 控制 权 ， 可 以 通过 以 下 方法 简单 地 解决 问题 。 

口 在 服务 器 上 启用 并 优先 使 用 ECDHE 套 件 ，Java 7 的 客户 端 支持 这 些 套件 可 以 正常 使 用 。 

口 作为 最 后 的 手段 ， 你 可 以 将 DH 参数 降级 到 1024 位 ， 当 然 这 也 降级 了 所 有 DH 套件 的 安全 性 。 
在 实际 部 署 中 , 如 果 你 配置 了 ECDHE 套 件 , 那 就 只 有 一 小 部 分 老 客户 端 才 会 匹配 到 DH 算法 。 
选择 这 种 方案 时 ， 请 避免 使 用 常用 的 〈 系统 默认 的 ) DH 参数 ， 更 多 相关 信息 参阅 6.5 节 。 

口 另 一 个 最 后 的 手段 是 完全 禁用 DHE 套 件 ， 如 果 你 同时 启用 了 ECDHE 套 件 ， 大 部 分 客户 端 
就 会 使 用 它 ， 剩 余 的 一 小 部 分 将 失去 前 向 保密 的 能 力 。 
如 果 你 倾向 于 在 客户 端 来 修改 ,可 以 尝试 使 用 Bouncy Castle 项 目 开 发 的 JCE 组 件 来 替换 Oracle 

的 官方 JCE 组 件 ( DH 参数 限制 所 在 )。" 对 于 这 个 方案 我 持 保留 意见 ， 虽 然 它 有 时 可 以 工作 , 但 新 

增 的 Provider 也 可 能 带 来 其 他 让 人 费解 的 异常 情况 。 要 使 用 这 一 方案 , 你 还 需要 将 Java 6 客户 端的 

握手 格式 调整 为 v3， 因 为 默认 的 v2 格式 不 支持 ECDHE。 


4. 服务 器 名 称 标识 不 匹配 

只 有 极 少数 服务 器 不 兼容 服务 器 名 称 标 识 ( server name indication，SNI ) 的 扩展 ,而 从 Java 7 
开始 客户 端 默 认 会 启用 SNI。 最 常见 的 情况 是 ,支持 SNI 的 服务 器 在 SNI 信 息 中 无 法 匹配 任何 一 个 
虚拟 主机 时 ， 返 回 了 一 个 TLS 和 警告。 尽管 TLS 和 警告 不 是 致命 的 ， 理 论 上 可 以 忽略 ， 但 Java 客 户 端 
在 这 种 情况 下 会 直接 终止 连接 。 当 你 升级 JVM 并 看 到 以 下 异常 时 ， 应 该 就 是 碰 到 了 上 述 问 题 : 


javax.net.ssl.SSLProtocolException: handshake alert: unrecognized name 


5. 严格 安全 重新 协商 失败 

当 JVM 在 严格 安全 重新 协商 模式 下 运行 时 ， 需 要 TLS 握 手 的 两 端 都 必须 实现 安全 重新 协商 。 
不 是 这 样 的 话 ， 就 会 得 到 以 下 异常 : 

javax.net.ssl.SSLHandshakeException: Failed to negotiate the use of secure renegotiation 

除非 明确 启用 了 严格 安全 重新 协商 (将 sun.security.ssl.allowLegacyHelloMessages 设 置 为 
false )， 才 不 会 有 此 异常 。 如 果 是 Java 客 户 端 遇 到 这 个 问题 ， 最 佳 方案 是 升级 服务 器 ; 如 果 不 可 
行 ， 那 么 唯一 的 选择 就 是 切换 回 默认 《不 安全 ) 模式 。 




































































































































































GD Provider Installation, http:/www.bouncycastle.org/wiki/display/JA1/Provider+Installation ( Bouncy Castle, 检索 于 2014 
年 7 月 2 日 )。 
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6. 协议 协商 失败 

SSL 3 是 一 个 较 旧 的 、 过 时 的 协议 版 本 ， 不 应 该 使 用 。 理 论 上 所 有 互联 网 的 服务 器 都 支持 至 
少 TLS 1.0， 你 不 会 遇 到 互 操 作 性 问题 3 的 服务 器 ， 如 果 你 禁用 了 
SSL3， 在 与 这 些 服 务 顺 通信 时 就 会 得 到 以 下 异 


javax.net.ssl.SSLHandshakeException: Server chose SSLv3, but that protocol version is not enabled or 
not supported by the client. 


要 解决 这 个 问题 ， 可 以 升级 服务 器 或 者 降级 客户 端 。 
反 过 来 将， 如 果 没有 局 用 新 协议 ， 你 也 可 能 遇 到 不 支持 TLS 1.0 及 更 早 版 本 的 服务 咒 。 这 种 
情况 同样 少见 ， 但 如 果 遇 到 ， 就 会 得 到 以 下 消息 : 


javax.net.ssl.SSLException: Received fatal alert: protocol version 


7. 握手 格式 不 兼容 

Java 6 和 更 早 的 版 本 默认 使 用 了 SSL 2 的 握手 格式 ， 但 不 是 所 有 服务 器 都 支持 。 如 果 遇 到 了 不 
支持 的 服务 器 ， 就 会 得 到 以 下 消息 : 

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake 

你 可 以 重新 配置 客户 端 使 用 SSL 3 握手 格式 来 解决 问题 ,在 14.1.8 节 中 的 “在 客户 端 上 使 用 强 
协议 ”部 分 中 有 详细 说 明 。 
































14.1.8 保护 Java Web 应 用 


在 本 节 中 ， 我 将 讨论 关于 如 何在 Java 客 户 端 或 者 Web 应 用 中 安全 使 用 加 密 的 主题 。 相 关内 容 
并 不 复杂 , 但 是 正确 的 信息 却 很 难 在 互联 网 的 资料 海洋 中 找到 。 请 注意 , 在 此 不 会 讨论 加 密 以 外 
的 任何 东西。 例如 ，Cookie 安 全 和 会 话 管理 安全 都 是 相当 复杂 的 主题 ， 有 很 多 可 以 讲 的 ,但 是 完 
全 和 覆盖 这 些 内 容 已 经 超出 了 本 书 的 范围 。 


1. 强制 加 密 
你 可 以 写 一 个 Web 应 用 并 且 期 望 它 是 安全 运行 的 ( 即 部 署 在 TLS 下 ), 但 并 不 能 确保 实际 如 此 。 
可 能 是 因为 操作 失误 或 者 配置 错误 ， 你 的 程序 就 以 明文 HTTP 方 式 开放 使 用 了 。 
我 的 建议 是 在 代码 中 强制 检查 应 用 是 否 是 被 安全 访问 的 , 方法 是 通过 使 用 Servlet 容 器 提供 的 
HttpServletRequest 实 例 上 的 issecure() 方 法 。 对 于 已 有 的 无 法 修改 源 代码 的 程序 ， 可 以 通过 
Servlet Filter 来 加 入 检查 。 


注意 

代码 检查 可 以 找 出 明显 的 配置 错误 ,但 它 不 是 万 能 的 。 有 些 系 统 是 在 上 层 架 构 中 终止 
TLS 的 (例如 ， 负载 均衡 或 代理 )， 并 通过 Web 服 务 器 配置 参数 来 告 之 后 端 应 用 是 否 使 
用 了 加 密 。 
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2. 保护 Web 应 用 Cookie 
以 下 代码 片段 创建 了 一 个 Cookie 并 且 同 时 设置 了 httponly 和 secure 标 志 ， 再 将 它 添加 到 响应 
中 (通过 Servlet 容 器 提供 的 HttpServletResponse 实 例 ): 


Cookie cookie = new Cookie(cookieName, cookieValue); 
cookie.setMaxAge(cookielLifeInDays * 24 * 3600); 
cookie.setHttpOnly(true); 

cookie.setSecure(true); 

response.addCookie(cookie); 


显然 ， 如 果 你 有 一 个 没有 正确 使 用 Cookie 的 应 用 ， 就 需要 检查 源 代码 来 找到 创建 Cookie 的 地 
方 并 改 成 安全 模式 。 如 果 不 希 望 修改 源 代 码 (或 者 无 法 获取 源 代 码 )， 可 以 尝试 写 一 个 Servlet 
Filter" 来 拦截 Cookie 的 创建 并 强制 设置 为 安全 模式 。 


3. 保护 Web 会 话 Cookie 

Java 应 用 程序 几乎 完全 依赖 于 Servlet 容 需 来 管理 会 话 。 在 实践 中 , 这 意味 着 要 确保 会 话 Cookie 
安全 ， 需 要 修改 配置 。 

对 于 符合 Servlet 3.0 或 更 高 版 本 规范 ”的 应 用 ， 这 很 容易 实现 ， 配 置 中 已 经 支持 保护 会 话 
Cookie 的 设置 项 。 要 启用 保护 ， 只 需要 在 应 用 的 web.xml 文 件 中 加 入 以 下 片段 : ” 


<session-config> 
<cookie-config> 
<secure>true</secure> 
<http-only>true</http-only> 
</cookie-config> 
</session-config> 


对 于 使 用 较 早 Servlet 规 范 版 本 的 应 用 ， 其 行为 完全 依赖 容器， 有 些 产 品 在 加 密 启 用 时 会 自动 
以 安全 模式 创建 Cookie。 


4. 部 署 HTTP 严 格 传输 安全 

HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS ) 是 一 项 新 技术 ， 可 以 让 不 期 望 明 
文 交 互 的 Web 应 用 强制 启用 加 密 传输 ， 在 第 10 章 中 有 详细 介绍 。 要 部 署 HSTS ， 需 要 在 应 用 中 增 
加 一 个 响应 头 ， 只 需要 调用 一 个 方法 : 


response.setHeader("Strict-Transport-Security",\ 
"max-age=31536000; includeSubDomains; preload"); 


实际 上 ， 在 Web 服 务 右 层面 配置 安全 策略 通常 是 更 好 的 方式 。Java 应 用 也 可 以 使 用 Servlet 
Filter， 不 需要 自己 写 ， 可 以 从 现 有 的 开源 项 目 (例如 HeadLines 项 目 ”) 中 直接 借用 。 






















































































CD The Essentials of Filters, http://www.oracle.com/technetwork/java/filters-137243.html ( Oracle， 检索 于 2014 年 7 月 2 日 )。 

@) JSR-000315 JavarM Servlet 3.0, http://download.oracle.com/otndocs/jcp/servlet-3.0-fr-eval-oth-JSpec/ ( Java Community 
Process，2009 年 12 月 )。 

@ 可 以 在 代码 中 设置 当前 ServletContext 的 SessionCookieConfig 实 例 来 达到 同样 的 效果 ， 最 好 在 ServletContext- 
Listener 创 建 ServletContext 之 后 立刻 设置 。 

由 HeadLines, https://github.com/sourceclear/headlines ( SourceClear， 检 索 于 2014 年 7 月 1 日 )。 
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5. 在 客户 端 上 使 用 强 协议 

对 于 客户 端 应 用 ，Java 默 认 的 协议 配置 历来 是 专注 于 互 操作 性 而 不 是 安全 性 。 例 如 Java 6 中 
还 在 使 用 SSL 2 握手 格式 ， 其 实 这 种 格式 只 有 在 使 用 SSL 2 协议 时 才 是 必要 的 ， 而 Java 实 际 从 未 文 
持 过 SSL 2。Java 7 不 再 支持 SSL 2 握手 格式 ， 但 仍然 没有 对 客户 端 默认 启用 TLS 1.1 和 TLS 1.2， 尽 
管 它 实际 已 经 支持 了 这 些 新 协议 ( 对 于 服务 器 ,默认 是 启用 的 )。Java 8 则 同时 在 客户 端 和 服务 器 
默认 启用 了 TLS 1.1 和 TLS 1.2。 

如 果 只 使 用 了 HttpsUrlConnection 类 ， 那 最 简单 的 方法 就 是 修改 https .protocols 系 统 属性 ， 
请 参考 之 前 在 14.1.6 节 中 的 讨论 ,通过 设置 https .protocols 来 修改 这 个 类 的 默认 协议 配置 。 从 Java 
8 开始 ，jdk.tls.client.protocols 系 统 属性 可 以 起 到 相同 的 作用 ， 并 且 会 对 所 有 依赖 SunJSSE 的 
代码 都 生效 。 

如 果 是 一 个 应 用 开发 并 且 不 能 控制 程序 运行 的 环境 ,此 时 修改 系统 属性 可 能 不 适用 。 最 好 的 
办 法 是 在 程序 中 确保 应 用 使 用 了 指定 的 协议 。 如 果 可 以 直接 操作 底层 套 接 字 对 象 , 这 个 工作 很 简 
单 直接 ， 你 可 以 调用 SSLsocket .setSSLParameters() 来 设置 自 定 义 的 配置 。 

但 是 大 多 数 情况 下 套 接 字 过 于 底层 , 这 也 就 是 为 什么 你 通常 会 发 现 自 己 使 用 的 是 更 高 级 别 的 
HttpsURLConnection 类 。 不 幸 的 是 ， 修 改 这 个 类 使 用 的 协议 要 困难 得 多 ， 你 需要 创建 一 个 自 定义 
的 SSLSocketFactory 并 且 确 保 一 直 使 用 这 个 自 定义 类 。 

以 下 是 我 的 自 定 义工 厂 , 启用 了 所 有 支持 的 协议 (协议 版 本 没有 使 用 硬 编码 ， 与 未 来 新 协议 
兼容 ) 但 禁用 了 SSL 2 握手 格式 和 SSL 3 协议 : 


port java.io.IOException; 

port java.net.InetAddress; 

port java.net.Socket,; 

port java.net.UnknownHostException,; 
port java.util.Arraylist,; 

port java.util.List; 
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import javax.net.ssl.SSLSocket; 
import javax.net.ssl.SSLSocketFactory; 














public class MySSLSocketFactory extends SSLSocketFactory { 


private String enabledProtocols[] = null; 





private String enabledCipherSuites[]; 
private SSLSocketFactory sslSocketFactory; 


public MySSLSocketFactory() { 
sslSocketFactory = (SSLSocketFactory) SSLSocketFactory.getDefault(); 
enabledCipherSuites = sslSocketFactory.getDefaultCipherSuites(); 

} 


private Socket reconfigureSocket(Socket socket) { 
SSLSocket sslSocket = (SSLSocket) socket ; 
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if (enabledProtocols != null) { 
sslSocket.setEnabledProtocols(enabledProtocols); 

} else { 
List<String> myProtocols = new ArrayList<String>(); 


for (String p : sslSocket.getSupportedprotocols()) { 
if (p.equalsIgnoreCase("SSLv2Hello") 
|| (p.equalsIgnoreCase("SSLv3"))) { 
continue; 





} 


myProtocols.add(p); 
} 


sslSocket.setEnabledProtocols(myProtocols 
.toArray(new String[myProtocols.size()])); 
} 


sslSocket.setEnabledCipherSuites(enabledCipherSuites); 


return Socket ; 


} 


public void setEnabledProtocols(String[] newEnabledProtocols) { 
enabledProtocols = newEnabledProtocols; 
} 





public void setEnabledCipherSuites(String[] newEnabledCipherSuites) { 
enabledCipherSuites = newEnabledCipherSuites; 
} 


Q@Override 
public Socket createSocket(Socket s, String host, int port, 
boolean autoClose) throws IOException { 
return reconfigureSocket(sslSocketFactory.createSocket(s, host, port, 
autoClose)); 


Q@Override 
public String[] getDefaultCipherSuites() { 
return enabledCipherSuites; 


Q@Override 
public String[] getSupportedCipherSuites() { 
return sslSocketFactory.getSupportedCipherSuites(); 


Q@Override 

public Socket createSocket(String host, int port) throws IOException, 
UnknownHostException { 

return reconfigureSocket(sslSocketFactory.createSocket(host, port)); 
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Q@Override 

public Socket createSocket(InetAddress host, int port) throws IOException { 
return reconfigureSocket(sslSocketFactory.createSocket (host, port)); 

} 


Q@Override 
public Socket createSocket(String host, int port, InetAddress localHost, 
int localPort) throws IOException, UnknownHostException { 
return reconfigureSocket(sslSocketFactory.createSocket (host, port, 
localHost, localPort)); 
} 


@Override 
public Socket createSocket(InetAddress address, int port, 
InetAddress localAddress, int localPort) throws IOException { 
return reconfigureSocket(sslSocketFactory.createSocket(address, port, 
localAddress, localPort)); 


} 
之 后 ， 任 何 时 候 当 你 创建 HttpsUrlConnection 实 例 时 ， 都 需要 设置 和 使 用 自 定义 的 工厂 : 


URL u = new URL("https://www.feistyduck.com"); 
HttpsURLConnection uc = (HttpsURLConnection) u.openConnection(); 
uc.setSSLSocketFactory(new MySSLSocketFactory()); 


6. 证 书 吊销 检查 
默认 情况 下 ，Java 对 访问 的 证 书 不 会 执行 任何 证 书 吊销 检查 ， 这 有 潜在 的 不 安全 性 。 要 达到 
最 高 的 安全 性 ， 应 该 同时 启用 CRL 和 OCSP 吊 销 检 查 ， 即 将 com.sun.net.ss1.checkRevocation、 
ocsp.enable 和 com.sun.security.enableCRLDP 设 置 为 true。 

此 外 ， 你 也 应 该 允许 Java 尝 试 重建 不 完整 的 证 书 链 ， 方 法 是 通过 设置 com. sun.security. 


= 


enableAIAcalssuers 属 性 ， 否 则 不 完整 的 证 书 链 无 法 通过 验证 ,会 导致 与 服务 器 的 通信 和 失败。 
14.1.9 ”常见 密 钥 库 操作 
本 节 将 讨论 关于 密 钥 和 证 书 管理 最 常见 的 一 些 工作 ，keytool 工 具 可 以 帮助 你 完成 大 部 分 相 
关 工 作 , 但 你 可 能 还 需要 求助 于 使 用 OpenSSL 来 执行 某 些 任务 ， 特 别 是 密 钥 和 证 书 的 导入 。 
注意 
如 果 不 喜欢 在 命令 行 上 花 时 间 ， 可 以 考虑 使 用 一 个 叫 作 KeyStore Explorer 的 工具 ”,， 对 
常见 的 keytoo1 操 作 提供 了 一 个 友好 的 用 户 界面 。 


1. 密 钥 库 布局 
有 一 个 不 太 明 显 的 特性 ，Java 实 际 上 可 以 允许 使 用 任意 数量 的 密 钥 库 。 对 于 客户 端 来 说 ,通常 
你 不 需要 用 到 这 个 特性 ， 因 为 使 用 系统 提供 的 根 密 钥 库 已 经 足够 了 。 如 果 你 会 定期 更 新 式 E， 系 统 













































































QD KeyStore Explorer，http://keystore-explorer.sourceforge.net/( 检索 于 2014 年 7 月 1 日 )。 





14.1 Java 加 密 组 件 363 








密 钥 库 也 会 自动 保持 更 新 ， 否 则 ， 你 可 能 需要 时 不 时 地 手动 更 新 密 钥 库 以 加 入 新 的 可 信 根 证 书 。 
对 于 服务 器 而 言 则 完全 不 同 , 使 用 多 个 密 钥 库 不 仅 是 可 能 的 , 而 且 是 值得 推荐 的 。 除 非 有 很 

好 的 理由 不 这 么 做 ， 和 否则 应 该 永远 保持 每 个 站 点 使 用 独立 的 密 钥 库 。 这 种 方案 的 优点 是 : (1) 网 

站 密 钥 的 安全 性 保持 独立 ， 可 以 使 用 不 同 的 密码 ; (2) 将 网 站 从 一 个 服务 器 迁移 到 另 一 个 服务 器 


很 容易 。 




















在 同一 个 密 钥 库 内 ,每 个 证 书 链 都 必须 有 唯一 的 别名 。 如 果 采 用 了 以 上 服务 器 密 钥 库 的 使 用 








建议 ,， 则 无 需 考虑 关于 别名 的 问题 ， 因 为 在 一 个 密 钥 库 中 只 存在 唯一 的 证 书 链 。 在 本 章 的 其 余部 





























分 ， 我 假设 都 是 这 种 情况 ， 并 且 一 直 会 使 用 别名 server。 


2. 创建 一 个 自 签名 证 书 和 密 钥 








要 创建 一 个 自 签 名 证 书 和 私 钥 ， 请 使 用 -genkeypair 命 令 ": 


$ key 


tool -genkeypair \ 


-keystore feistyduck.jks \ 


-alias server \ 


Enter 
Re-en 


-keyalg RSA \ 

-keysize 3072 \ 

-validity 365 \ 

-ext SAN="DNS:www.feistyduck.com,DNS:feistyduck.com" 


Keystore passwOrd : * 闵 六 六 六 六 六 六 六 六 六 冰冰 六 闪 
ter new pasSWOd: 六 六 六 六 六 六 六 冰冰 六 六 








在 本 例 中 , 我 使 用 了 keytool 的 一 个 允许 创建 多 域名 证 书 的 特性 ( -ext 开 关 ), 这 个 特性 在 Java 6 
和 之 前 的 版 本 中 没有 提供 。 
警告 
keytool 工 具 可 以 通过 命令 行 的 -storepass 开 关 来 传 入 密 钥 库 密 码 , 但 是 我 不 推荐 要 这 
样 使 用 ， 如 果 这 样 做 ,密码 会 被 记录 在 命令 行 的 历史 信息 中 ,也 可 能 会 被 其 他 人 从 进 
程 列 表 中 看 到 。 
当 你 输入 密码 后 , 会 提示 你 输入 证 书 所 需要 的 信息 。 第 一 个 问题 有 点 误导 性 , 不 是 在 询问 你 
的 姓名 ， 而 是 要 你 输入 所 需 的 域名 ( 例如，www .feistyduck.com ) : 


hat 


C 
等 


Un 


Un 











Un 
IS C 














is your first and last name? 
nown]: www.feistyduck.com 


t is the name of your organizational unit? 


Unknown]: Engineering 
t is the name of your organization? 


Unknown]: Feisty Duck Limited 
t is the name of your City or Locality? 





nown]: London 


t is the name of your State or Province? 


nown]: England 











t is the two-letter country code for this unit? 





nown|]: GB 
=Www. feistyduck.com, OU=Engineering, 0=Feisty Duck Limited, L=London, ST=England, C=GB correct? 








CD Java 


7 之 前 ， 这 个 命令 是 -genkey。 
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[no]: yes 
Enter key password for <server> (RETURN if same as keystore password): 


现在 可 以 检查 一 下 密 钥 库 中 的 结果 ， 用 以 下 命令 查看 你 的 密 钥 和 证 书 内 容 : 


$ keytool -keystore feistyduck.jks -list -V 
Enter keystore paSSWOTd : 六 六 六 六 六 六 六 六 六 六 六 六 六 六 冰冰 
[ee 
Alias name: server 
Creation date: 01-Jul-2014 
Entry type: PrivateKeyEntry 
Certificate chain length: 1 
Certificate[1]: 
Owner: CN=www.feistyduck.com, OU=Engineering, O0=Feisty Duck Limited, L=London, ST=England, C=GB 
Issuer: CN=www.feistyduck.com, OU=Engineering, O0=Feisty Duck Limited, L=London, ST=England, C=GB 
Serial number: 4f3326e0 
Valid from: Tue Jul 01 17:10:31 BST 2014 until: Wed Jul 01 17:10:31 BST 2015 
Certificate fingerprints: 
MD5: 55:63:0B:F5:F5:45:67:62:2D:85:FE:5C:D2:8E:1E:27 
SHA1: A4:AD:C6:1E:F6:1F:73:BO:BD:C6:2F:83:F5:B1:67:82:61:94:89:CE 
SHA256: FD:OA:BE:5B:9F:93:9D:BA:DF:FD:54:8B:37:0A:A4:7C:92:1F:03:25:8C:01:ED:92:9B:BE: 
AA:19:68:27:B9:4D 
Signature algorithm name: SHA256withRSA 
Version: 3 

















Extensions: 


#1: ObjectId: 2.5.29.17 Criticality=false 
SubjectAlternativeName [ 
DNSName: www.feistyduck.com 
DNSName: feistyduck.com 
] 


#2: ObjectId: 2.5.29.14 Criticality=false 

SubjectkeyIdentifier [ 

KeyIdentifier [ 

0000: 02 14 B4 49 F6 15 FO 77 FE 9A C8 86 2A 02 10 95 ...I...N......。 
0010: 9A 46 FD EB be 

] 

] 


3. 创建 一 个 证 书签 名 申请 
在 你 创建 完 自 签名 证 书 和 密 钥 后 , 还 需要 前 进 一 小 步 来 创建 证 书签 名 申请 ( certificate signing 
request, CSR ): 


$ keytool -certreq \ 
-keystore feistyduck.jks \ 
-alias server \ 
-file fd.csr 
Enter keystore password: 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 


现在 可 以 将 文件 fd.csr 提 交 给 你 的 CA 用 于 签发 正式 证 书 了 。 
4. 证 书 导 入 
从 CA 接收 到 服务 器 证 书后 ， 你 需要 将 它 以 及 构建 完整 证 书 链 需要 的 所 有 证 书 全 部 导入 密 钥 
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库 。 首 先 ， 导 入 根 证书 : 


$ keytool -import \ 

-keystore feistyduck.jks \ 
-trustcacerts \ 

-alias root \ 

-file root.crt 


然后 ， 使 用 相同 的 命令 ( 但 每 次 使 用 不 同 别名 )， 导 入 中 间 证 书 : 


$ keytool -import \ 

-keystore feistyduck.jks \ 
-trustcacerts \ 

-alias intermediate1 \ 
-file intermediate1.crt 


最 后 ， 导 入 服务 吉 证 书 : 
$ keytool -import \ 
-keystore feistyduck.jks \ 


-alias server \ 
-file fd.crt 


注意 

keytool1 的 一 个 特别 棒 的 地 方 就 是 它 会 检查 被 导入 的 证 书 与 密 钥 是 否 匹 配 ， 以 及 证 书 
链 是 否 有 效 。 根 据 我 的 研究 ， 大 约 有 6% 的 服务 器 部 署 了 错误 的 证 书 链 ，Kkeytool 的 这 
个 功能 可 以 避免 类 似 错误 的 发 生 。 


5. 已 有 证 书 的 格式 转换 
如 果 要 从 现 有 服务 器 ( 例如 Apache ) 迁移 , 往往 需要 将 一 组 密 钥 和 证 书 文件 合并 到 一 个 单独 
的 密 钥 库 中 。Keytool 工 具 无 法 完成 这 个 任务 ,但 用 OpenSSL 来 做 则 很 容易 。 
以 下 命令 利用 已 有 的 密 钥 和 证 书 ， 并 把 它们 转换 成 一 个 新 的 pkcs12 格 式 的 密 钥 库 中 : 
$ openssl pkcs12 -export \ 
-Out feistyduck.p12 \ 
-inkey fd.key \ 
-in fd.crt \ 
-certfile fd-intermediates.crt \ 


Enteér ExportPasSwortd: * 六 六 六 六 六 水 半 闵 闵 冰 玉米 冰冰 六 
Verifying - Enter Export PaSSWOTd : 六 * 冰 六 浆 六 六 冰冰 六 冰冰 六 六 


如 果 你 有 多 个 中 间 证 书 ， 请 把 它们 合并 到 一 个 文件 中 〈 参 见 例子 中 的 fd-intermediates.crt 文 件 )。 

你 可 以 直接 使 用 这 个 新 的 密 钥 库 ， 但 因为 它 不 是 Java 原 生 格式 ， 你 可 能 需要 在 配置 中 指定 对 
应 的 格式 。 例 如 在 Tomcat 中 ， 可 以 将 keystoreType 参 数 设置 为 pkcs12。 

如 果 你 喜欢 保持 一 切 不 变 ， 也 可 以 用 keytool 把 密 钥 库 转换 回 原生 的 ( JKS ) 格式 : 


$ keytool -importkeystore \ 
-srckeystore feistyduck.p12 \ 
-srcstoretype pkcs12 \ 
-destkeystore feistyduck.jks 
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Enter destination keystore paSsSWOTd : 六 * 六 六 六 六 六 六 六 六 六 六 六 六 冰冰 

Re-enter new paSSWOITd : 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 

Enter source keystore password: * 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 

Entry for alias server successfully imported. 

Import command completed: 1 entries successfully imported, 0 entries failed or cancelled 


6. 客户 端 根 证 书 导入 
有 时 可 能 会 遇 到 这 么 一 种 情况 : 尽管 服务 器 证 书 是 由 公共 CA 签发 的 , 但 你 的 Java 客 户 端 却 无 
法 连接 到 指定 的 服务 器 。 在 这 种 情况 下 ， 需 要 将 缺失 的 根 证 书 加 入 到 你 的 密 钥 库 中 。 
首先 需要 获取 缺失 的 根 证 书 ， 这 很 容易 ， 因 为 现在 所 有 的 浏览 器 都 提供 了 证 书 查看 功能 。 直 
接 访问 指定 网 站 ,选择 查看 证 书 的 功能 ,将 根 证 书 导出 到 一 个 文件 中 。 注意 这 里 不 需要 导出 中 间 
证 书 。 
然后 执行 以 下 命令 : 
$ keytool -import \ 
-keystore /path/to/keystore.jks \ 
-trustcacerts \ 
-file /path/to/root.crt \ 
-alias UNIQUE ROOT_ALIAS 
注意 
如 果 想 创建 一 个 自 定义 密 铀 库 给 应 用 程序 使 用 ,你 可 以 使 用 任意 密码 。 如 果 只 在 密 钢 
库 中 保存 根 证 书 ， 密 码 实 际 并 不 重要 。 如 果 想 替换 Java 默 认 的 密 钥 库 ,使 用 changeit 
作为 密码 ， 以 与 默认 密码 保持 一 致 。 
建议 在 一 个 独立 的 区 域 维护 你 的 主 密 钥 库 ， 并 按 需 分 发 。 如 果 要 修改 默认 的 Java 密 钥 库 ， 可 
以 简单 地 将 你 的 密 钥 库 复制 到 对 应 的 路 径 ， 大 部 分 情况 下 就 是 $IJIAVA_HOME/jre/lib/security/ 


CaCertso 















































14.2 Tomcat 


如 果 想 在 Java 平 台 上 运行 Web 服 务 ， 那 么 你 很 可 能 会 依赖 Tomcat 或 者 它 的 某 个 衍生 产品 。 在 
Tomcat 中 使 用 TLS 有 些 混乱 ， 因 为 可 以 有 很 多 种 不 同 的 方法 来 实现 : 

口 不 在 Tomat 上 运行 TLS 

从 历史 上 看 ， 有 相当 数量 的 Tomcat 是 部 署 在 Apache 反 向 代理 之 后 的 。Apache 不 仅 流 行 而 

且 功 能 强大 ， 拥 有 各 种 各 样 的 模块 可 以 支持 所 有 能 想到 的 功能 ， 这 也 使 它 可 以 形成 一 个 
单独 的 架构 层 用 来 处 理 所 有 与 HTTP 相 关 的 功能 ， 而 让 Tomcat 专 注 于 Java 特 有 的 功能 。 这 
种 架构 是 如 此 流行 ， 以 至 于 Apache 有 一 个 单独 的 代理 模块 (mod_proxy_ajp”) 使 用 自 定义 
协议 AJP 来 直接 对 接 Tomcat。 




















QD Module mod_proxy_ajp, https://httpd.apache.org/docs/trunk/mod/mod_ proxy_ajp.html ( Apache httpd trunk documentation, 
检索 于 2015 年 7 月 22 日 )。 
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在 这 种 模式 下 , 所 有 与 TLS 相 关 的 功能 都 是 在 Apache 上 配置 的 。 





口 使 用 JSSE 














此 对 那些 已 经 有 Apache 


使 用 经 验 或 者 希望 规避 Java 和 Tomcat 的 TLS 限 制 的 用 户 来 说 ， 这 种 方案 很 有 吸引 力 。 


如 果 想 在 Tomcat 层 面 上 终止 TLS, 默认 的 选择 就 是 使 用 JSSE。 这 个 方案 简单 直接 ， 因 为 所 





有 Java 安 装 包 无 需 任何 调整 都 已 经 支持 了 。 同样 , 这 个 方案 也 意味 着 接受 了 JSSE 的 所 有 限 
制 。 尽 管 如 此 ，Java 8 中 所 作 的 大 量 改 进 ， 已 经 完全 可 以 让 JSSE 成 为 一 个 强大 安全 的 服务 











器 运行 平台 。 
口 使 用 APR 和 OpenSSL 

















为 了 进一步 提高 Tomcat 性 能 ， 开 发 者 想 出 了 一 个 使 用 本 地 库 的 方案 ， 也 就 是 Tomcat 





Tomcat 在 启动 时 如 果 发 现 有 Tomcat Native 库 , 就 会 自动 加 载 它 。 








Native", 这 个 库 包装 了 其 他 两 个 成 熟 的 本 地 库 : APR( Apache Web 服 务 核心 ) 和 OpenSSL。 


有 一 些 不 成 熟 的 证 据 表 明 








使 用 Tomcat Native 后 性 能 有 所 提高 ， 但 由 于 这 个 库 同样 也 接管 








作 ， 所 以 很 难说 明 性 能 的 提高 是 由 于 MO 还 是 因为 OpenSSL。 在 启动 的 时 候 ，Tomcat 自 己 





也 会 提示 使 用 Tomcat Native 后 提高 了 性 能 。 


























了 套 接 字 处 理 和 其 他 1/O 操 





Tomcat Native 的 一 个 主要 缺点 是 增加 了 部 署 的 复杂 性 , 它 是 一 个 需要 独立 安装 和 维护 的 组 
件 。Tomcat Native 和 JDK 版 本 有 绑 定 ， 也 就 是 说 当 升 级 Java 版 本 时 ， 需 要 重新 编译 Tomcat 




















Native。 





对 于 Windows 来 说 , Tomcat Native 有 二 进 制 文件 提供 。 有 些 平台 , 例如 Ubuntu, 直接 把 Tomcat 














Native 作 为 一 个 可 选 包 提供 (在 Ubuntu 中 包 名 是 libtcnative-1 )， 








但 是 这 个 版 本 可 能 大 老 无 


法 在 最 新 版 本 的 Tomcat 上 使 用 。 此 外 ， 新 的 Tomcat Native 版 本 包含 了 很 多 重要 的 改进 。 
当 你 决定 使 用 OpenSSL 时 ，Java 加 密 库 的 功能 和 性 能 就 不 再 起 作用 , 它 完 全 依赖 于 你 使 用 











的 Tomcat Native 和 OpenSSL 以 及 这 些 组 件 本 身 支 持 的 功能 。 





让 事情 更 复杂 的 是 ， 使 用 JSSE 的 Tomcat 支 持 三 种 连接 器 ( 处 理 传 人 连接 的 服务 器 组 件 ): 老 
的 BIO ( blocking, 阻塞 )、 默认 的 NIO ( nonblocking, 非 阻塞 ) 以 及 最 新 的 NIO2 ( also nonblocking， 
也 非 阻塞 )。” 如 果 你 使 用 的 是 OpenSSL， 只 有 一 种 混合 使 用 阻塞 和 非 阻塞 的 连接 器 。 











表 14-4 ( 从 Tomcat 文 档 中 复制 而 来 ) 展示 了 不 同 选项 的 一 个 对 比 : 
表 14-4 不同 Tomcat 连 接 器 的 性 能 选项 对 比 





Java BIO Java NIO Java NIO2 Tomcat Native 
类 名 称 Http11Protocol Http11Nioprotocol Http11Nio2Protocol Http11AprProtocol 
Tomcat 版 本 3.x 以 上 6.x 以 上 8.x[ 以 上 5.5.x[ 以 上 
支持 轮 询 否 是 是 是 








QD Tomcat Native, https://tomcat.apache.org/native-doc/ ( Apache Software Foundation, 
































@ 阻塞 / 非 阻塞 的 名 称 是 用 来 说 明 TCP 连 接 是 如 何 被 处 理 的 。 一 个 阻塞 连接 器 会 使 用 整个 线程 来 服务 于 一 个 TCP 客 户 


检索 于 2015 年 7 月 22 日 )。 











端 ， 一 个 非 阻塞 连接 器 可 以 在 一 个 线程 或 者 一 个 小 线程 池 中 处 理 所 有 TCP 客 户 端 。 阻 塞 连 接 器 适用 于 处 理 速 度 快 





















































的 客户 端 ， 而 非 阻 塞 连接 器 更 适用 于 大 量 慢 的 客户 端 。Tomcat 7 默认 使 用 BIO 连 





























关 器 ， 而 Tomcat 8 默认 使 用 NIO 连 





































































































368 第 14 章 配置 Java 和 Tomcat 
( 续 ) 
Java BIO Java NIO Java NIO2 Tomcat Native 
轮 询 队列 大 小 无 maxConnections maxConnections maxConnections 
读 HTTP 请 求 头 阻塞 非 阻塞 非 阻塞 阻塞 
读 HTTP 请 求 体 阻塞 模拟 阻塞 * 阻塞 阻塞 
写 HTTP 响 应 阻塞 模拟 阻塞 阻塞 阻塞 
请 求 等 待 阻塞 非 阻塞 非 阻塞 非 阻塞 
SSL 实 现 Java (JSSE) Java (JSSE) Java (JSSE) OpenSSL 
SSL 担 手 阻塞 非 阻塞 非 阻塞 阻塞 
最 大 连接 数 maxConnections maxConnections maxConnections maxConnections 
a 尽管 连接 器 是 非 阻塞 的 ， 但 传统 的 Servlet 规 范 对 请 求 体 的 处 理 要 求 使 用 阻塞 WO， 因 此 ， 非 阻塞 连接 器 在 这 里 模拟 了 阻 
塞 JO。Servlet 3.1 规 范 (Tomcat 8 中 支持 ) 引入 了 非 阻塞 IO。 























不 幸 的 是 , 很 难 找到 好 的 文档 来 帮助 我 们 决定 在 什么 情况 下 使 用 哪 种 方案 最 好 。 如 果 你 关注 性 























能 ， 有 一 些 所 谓 的 证 据 表 明 使 用 前 置 反 向 代理 终止 TLS 是 最 
Se tt i 
不 仅 如 此 ， 性 能 也 只 是 决策 的 一 个 方面 ， 当 考虑 TLS 时 ， 实 际 外 























场景 。 





14-5 总 结 了 JSSE ( Java ee 8 )、Tomcat Native 以 及 前 置 Apache 反 向 代理 








表 14-5 ”不同 TLS 终 止 方式 下 TLS 功 能 的 对 比 


及 快 的 方案 ， 其 次 是 Tomcat Native， 最 后 
向 , 但 是 这 些 可 能 都 依赖 于 实际 的 使 用 
引文 持 的 功能 可 
终止 TLS 的 一 些 差别 : 





能 更 重要 。 


















































Tomcat (Java7) Tomcat (Java 8) Tomcat Native Apache 2.4.x 

强 DH 参 数 ， 位 数 否 ; 768 底线 ，1024 底线 ，1024 是 ;， 2048+ (2.4.7) 
配置 强 DH 参 数 一 是 一 是 (2.4.7) 
椭圆 曲线 支持 是 是 是 (1.1.30) 是 

密码 套件 优先 是 (7.0.61 和 8.0.21) 是 是 

虚拟 安全 主机 一 尚未 支持 * 一 是 

禁用 客户 端 重新 协商 = 是 是 是 

TLS 会 话 缓存 控制 是 是 一 是 

TLS 集 群 会 话 缓存 一 一 一 是 

会 话 票 证 支持 = 是 是 

禁用 会 话 票 证 — 一 是 (2.4.11) 
会 话 票 证 配置 一 一 一 是 

OCSP stapling 三 = = 是 

多 密 钥 支持 " — 是 














a 尽管 Java 8 的 JSSE 支 持 ， 但 这 一 功能 的 使 用 需要 Tomcat 的 代码 改造 ， 本 书写 作 时 尚未 提供 ， 预 计 在 Tomcat 9 中 支持 。 





b 底层 的 JSSE 引 擎 从 Java 7 后 就 支持 多 密 钥 功 能 了 ， 但 Tomcat 中 没有 用 到 。 





表 14-5 中 列 出 的 一 些 特性 属于 高 级 特性 , 只 影响 特定 用 户 , 但 有 些 是 








和 更 早 版 本 中 却 有 重大 限制 。 
口 不 安全 的 DHE 套 件 
在 Java 8 中 ， 服 务 器 的 临时 Diffie-Hellman ( DH ) 套件 默认 使 月 











月 1024 安 全 位 ， 








很 基本 的 特性 , 在 Java7 


有 利于 互 操 
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作 性 但 对 安全 性 而 言 并 不 是 最 佳 。 可 以 通过 设置 jdk.t1s.ephemeralDHKeySize 系 统 属性 将 
强度 提高 到 2048 位 。 
在 Java7 和 更 早 的 版 本 中 ,服务 器 的 临时 DH 参数 被 限制 为 768 位 , 因此 在 升级 到 Java 8 之 前 ， 
请 不 要 在 JSSE 中 使 用 任何 临时 DH 套件 。 
密码 套件 优先 
在 Java 8 之 前 的 版 本 中 ，JSSE 不 允许 服务 器 控制 密码 套件 顺序 ， 这 意味 着 客户 端 列表 中 的 
第 一 个 支持 的 套件 会 被 使 用 ， 在 实践 中 这 限制 了 强制 使 用 安全 配置 的 能 力 。 例 如 ， 你 无 
法 在 配置 中 支持 RC4 而 只 能 将 其 用 于 那些 没有 更 好 方案 的 客户 端 , 同样 , 你 也 不 能 强制 优 
先 选择 支持 前 向 保密 的 套件 。 
从 Java 8 开始 ，JSSE 已 经 支持 服务 器 密码 套件 优先 , 但 是 服务 器 应 用 需要 修改 来 启用 这 个 
新 特性 。Tomcat 在 7.0.61 和 8.0.21 中 已 加 入 支持 。” 
禁用 客户 端 重新 协商 
客户 端 重新 协商 是 协议 的 一 个 特性 ， 但 实际 没有 什么 使 用 价值 ， 反 而 是 给 攻击 者 提供 了 
一 个 强制 服务 器 持续 握手 来 消耗 CPU 资源 的 DoS 攻 击 的 机 会 。 这 里 的 问题 在 于 一 次 TCP 连 
接 原则 上 可 以 执行 多 次 握手 , 而 大 多 数 DoS 检 测 技 术 都 是 基于 连接 频率 来 实现 的 , 导致 持 
续 握 手 攻击 很 难 防御 。 
从 Java 8 开始 ， 你 可 以 通过 未 公开 的 系统 属性 jdk.tls.rejectClientInitiatedRenego- 
tiation 来 禁用 客户 端 重新 协商 。 

由 于 问题 众多 ， 在 将 Java Web 服 务 器 升级 到 支持 服务 器 密码 套件 优先 前 ， 我 建议 你 使 用 
Tomcat Native (1.1.30 以 上 ) 或 者 前 置 Apache 反 向 代理 来 终止 TLS。 




















口 


























口 












































14.2.1 TLS 配置 


要 配置 TLS”， 你 需要 设置 Tomcat 配 置 中 Connector 元 素 的 一 系列 属性 。protocol 属 性 决定 了 
需要 使 用 三 种 连接 器 中 的 哪 一 种 , 使 用 默认 值 (HTTP/1.1 ) 时 Tomcat 首 先 会 尝试 使 用 APR 连 接 器 。 
如 果 APR 连 接 器 不 可 用 , Tomcat 7 及 更 早 版 本 会 降级 到 BIO 连接 器 , 而 Tomcat 8 会 使 用 NIO 连 接 器 。 

你 不 应 该 在 生产 环境 中 依赖 默认 设置 ， 而 是 应 该 在 protocol 属 性 中 明确 配置 所 需 的 连接 器 名 
称 ， 如 随后 几 节 所 述 。 

在 JSSE 中 使 用 阻塞 连接 器 (blocking connector，BIO ): 

<Connector 


protocol = "org.apache.coyote.http11.Http11Protocol" 
port = "443" 















































/< 





GD Bug #55988: Add parameter useCipherSuitesOrder to JSSE(BIO and NIO) connectors, https://bz.apache.org/bugzilla/ 
show_bug.cgi?id=55988 ( ASF Bugzilla， 检 索 于 2015 年 3 月 27 日 )。 

@) SSL Support，https:/tomcat.apache.org/tomcat-8.0-doc/config/http.html#SSL Support ( Apache Tomcat 8 Documentation, 
检索 于 2014 年 7 月 2 日 )。 

















370 第 14 章 配置 Java 和 Tomcat 





在 JSSE 中 使 用 非 阻塞 连接 需 (nonblocking connector，NIO ): 


<Connector 
protocol = "org.apache.coyote.http11.Http11Nioprotocol" 
port = "443" 


/< 

默认 情况 下 , Tomcat 会 寻找 Tomcat Native 并 启用 , 这 是 在 AprLifecycyleListener 类 中 实现 的 ， 
参数 在 后 面 会 介绍 到 。 如 果 你 不 希望 使 用 Tomcat Native， 可 以 直接 禁用 这 个 类 ， 如 果 只 是 希望 
禁用 OpenSSL ( 保留 APR )， 可 以 将 SSLEngine 人 参数 设置 为 off: 


<Listener 
className = "org.apache.catalina.core.Aprlifecyclelistener" 
SSLEngine = "off" 


反 过 来 说 ， 如 果 你 保留 了 Tomcat Native 并 希望 使 用 OpenSSL， 可 以 把 protocol 属 性 设置 为 
Http11AprProtocol 类 : 











涉 六 


| 



































<Connector 
protocol = "org.apache.coyote.http11.Http11AprProtocol" 
port = "443" 


/< 


外 部 TLS 终 止 

即使 你 在 外 部 做 TLS 终 止 ， 有 些 TLS 配 置 在 Tomcat 上 也 是 必要 的 。 在 外 部 TLS 终 止 时 ， 虽 然 
整个 部 署 架构 是 安全 的 ， 但 Tomcat 对 TLS 无 感知 ， 在 Tomcat 中 运行 的 应 用 也 同样 无 感知 ， 这 会 
导致 一 些 细节 性 和 安全 性 问题 ， 例 如 ， 会 话 Cookie 没 有 被 标记 上 安全 属性 ， 导 致 会 话 可 能 被 外 
部 支持 。 

如 果 你 是 在 Apache 中 使 用 mod_jk 或 mod_proxy_ajp 向 后 连接 到 Tomcat ， 两 者 都 实现 了 A 了 通信 
协议 ， 你 无 需 做 任何 额外 工作 ， 因 为 AJP 协 议会 把 TLS 信 息 透 传 到 Tomcat。 

在 其 他 情况 下 ,你 需要 在 配置 和 信息 交互 上 做 更 多 的 工作 ,例如 要 让 Tomcat 知 道 TLS 已 在 外 
部 终止 ， 需 要 配置 scheme 和 secure 字 段 : 

<Connector 


Scheme = "https" 
secure = "true" 










































































> 

至 于 信息 交互 , 你 可 以 使 用 Tomcat 的 SSL Valve 功能 ", 可 以 从 请 求 头 中 提取 信息 (由 终止 TLS 
的 代理 设置 )， 并 将 信息 输出 到 对 应 的 Tomcat 数 据 结构 中 。 

如 果 以 上 解决 方案 对 你 都 无 效 , 那 就 需要 编写 一 个 自 定 义 扩展 来 继承 你 的 代理 , 将 安全 标识 、 
































GD SSL Valve, http://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#SSL_Valve ( Tomcat 8 documentation ， 检 索 于 
2014 年 6 月 26 日 )。 
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正确 的 访问 端口 、 协 议 格式 等 传 到 Tomcat。” 


14.2.2 JSSE 配置 


以 下 配置 片段 在 443 端 口 启用 TLS 并 且 显 式 配置 了 所 有 参数 (除了 客户 端 证 书 身份 验证 之 外 ， 
极 少 使 用 ): 


<Connector 
protocol = "org.apache.coyote.http11.Http11Protocol" 
port = "443" 











SSLEnabled = "true" 
Scheme = "https" 
secure = "true" 


clientAuth = "false" 


sslProtocol = "TLS" 
sslEnabledProtocols = "TLSv1, TLSv1.1, TLSv1.2" 
ciphers = "... omitted for clarity; see below" 


keystoreFile = "${catalina.home}/conf/feistyduck.jks" 
keystorePass = "YOUR PASSWORD" 
keyAlias = "server" 


sessionTimeout = "86400" 
sessionCacheSize = "10000" 
/> 


大 部 分 参数 的 意义 很 直观 ， 但 请 注意 以 下 几 点 。 

口 永远 都 不 要 修改 SSLEnabled、scheme 、secure 和 sslProtocol 参 数 。 

口 使 用 sslEnabledProtocols 参 数 来 控制 协议 选择 ( 忽略 sslProtocol 参 数 ， 该 参数 供 JSSE 内 
部 使 用 ， 无 法 提供 有 用 的 配置 )。 例子 中 没有 启用 SSLv2Hello 和 SSLv3， 我 认为 是 合理 的 ， 
因为 只 有 很 古老 的 客户 端 才 有 需要 ， 例 如 Windows XP 上 的 IE6 浏 览 器 。 

口 建议 在 Web 服 务 配置 中 总 是 包含 keystore 设 置 ，${catalina.home} 可 以 用 来 避免 使 用 绝对 

路 径 。 

口 keyAlias 人 参数 用 于 从 密 钥 库 中 选择 正确 的 证 书 链 和 密 钥 。 

口 默认 情况 下 ，Tomcat 不 会 限制 TLS 会 话 缓存 数量 ， 这 可 能 会 导致 DoS 攻 击 ， 最 好 是 为 TLS 
会 话 缓存 设置 一 块 固定 大 小 的 内 存 并 进行 相应 配置 。 

配置 示例 中 省 略 的 部 分 是 密码 套件 ， 建 议 使 用 以 下 默认 配置 ; 


TLS_ECDHE ECDSA WITH AES 128 CBC SHA 
TLS_ECDHE ECDSA WITH AES 256 CBC SHA 
TLS_ ECDHE ECDSA WITH AES 128 CBC SHA256 




























































































QD Tomcat and SSL Accelerators, http://blog.inuus.com/vox/2009/04/tomcat-and-ssl-accelerators.html( Paul Lindner 的 博客 ， 
2009 年 4 月 9 日 )。 
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TLS_ECDHE ECDSA WITH AES 256 CBC SHA384 
TLS_ECDHE RSA WITH AES 128 CBC SHA 
TLS_ECDHE RSA WITH AES 256 CBC SHA 
TLS_ECDHE RSA WITH AES 128 CBC SHA256 
TLS_ECDHE RSA WITH AES 256 CBC SHA384 


以 上 选择 是 基于 下 面 这 些 条 件 。 
口 你 使 用 的 是 Java 7， 可 以 启用 EC 套件 。 
口 你 没有 使 用 DSA 密 钥 ( 只 支持 1024 位 ， 服 务 器 安全 性 较 弱 )。 
口 你 不 希望 使 用 不 安全 的 DHE 套 件 ， 因 为 它 只 支持 768 位 DH 参数 。 
口 同时 加 入 ECDSA 和 RSA 套 件 ， 无 论 用 哪 种 密 钥 配置 都 能 工作 。 
这 套 配置 只 支持 前 向 保密 以 及 强 密码 套件 ， 在 大 部 分 现代 浏览 器 和 客户 端 上 都 可 以 正常 工 

作 , 但 某 些 古 老 的 客户 端 可 能 会 有 问题 。 例 如 ，Windows XP 上 的 老 正版 本 访问 会 失败 。 

如 果 你 确实 需要 为 这 些 古 老 的 客户 端 提供 支持 , 当 且 仅 当 这 种 情况 下 , 可 以 将 下 述 套 件 添加 
套件 列表 的 最 后 : 

TLS_RSA WITH AES 128 CBC SHA 

TLS_RSA WITH AES 256 CBC SHA 

SSL_ RSA WITH 3DES EDE CBC SHA 


TLS_ECDHE RSA WITH RC4 128 SHA 
SSL_ RSA WITH RC4 128 SHA 


前 三 个 套件 不 在 推荐 列表 中 是 因为 它们 不 支持 前 向 保密 , 后 两 个 套件 有 同样 的 问题 , 并 且 还 
依赖 不 安全 的 RC4 算 法 。 记 住 ， 只 有 在 仔细 研究 了 RC4 的 弱点 并 有 了 足够 理解 后 ， 你 才 可 以 判断 
是 否 使 用 RC4， 强 烈 建议 你 从 加 密 专家 那里 获取 专业 的 意见 。 


注意 
| Java 所 支持 密码 套件 的 完整 列表 在 SunJSSE Provider 的 文档 中 可 以 找到 。" 
1. 前 向 保密 
以 上 推荐 的 套件 配置 并 不 能 完全 确保 使 用 前 向 保密 。 主 要 有 两 个 原因 ， 都 是 由 于 Java 7 和 更 
早 版 本 中 JSSE 的 限制 所 导致 的 。 
口 JSSE 不 允许 指定 密码 套件 顺序 ， 目 前 大 部 分 客户 端 都 会 优先 选择 ECDHE 套 件 (支持 前 向 
保密 ), 但 有 些 不 是 这 样 , 其 中 一 个 例子 是 下 浏览 器 , 直到 最 近 为 止 , 仍然 会 优先 使 用 RSA 
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七 一 






















































































套件 而 不 是 ECDHE 套 件 。 
口 ECDHE 是 使 用 前 向 保密 的 首选 ， 因 为 它 的 性 能 最 好 ， 然 而 不 幸 的 是 一 些 老 客 户 端 并 不 支 











持 。 必 须 启 用 DHE 套 件 配置 才能 确保 完全 的 前 向 保密 。 在 JSSE 中 ，DHE 套 件 被 限制 只 能 
使 用 不 够 安全 的 768 位 加 密 ， 因 此 在 配置 中 并 没有 使 用 任何 DHE 套 件 ， 也 就 意味 着 这 些 老 
客户 端 将 无 法 使 用 前 向 保密 。 


























Q JDK 8: The SunJSSE Provider, http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#Sun 
JSSEProvider ( Oracle， 检 索 于 2014 年 7 月 17 日 )。 
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2. Java 8 的 配置 

如 果 使 用 的 是 Java 8 ， 那 么 你 就 自动 得 到 了 很 多 新 功能 。 

口 更 强 的 DH 参 数 (1024 位 ) 默认 被 使 用 ,但 你 应 当 通 过 配置 jdk.tls.ephemeralDHKeySize 
系统 属性 将 强度 提高 到 2048 位 以 加 强 安全 性 。 如 果 你 保留 了 默认 配置 ， 你 的 服务 器 可 能 
很 容易 被 国家 级 黑客 破解 。 要 了 解 有 关 DH 安 全 状态 的 更 多 信息 ， 请 参阅 6.5 节 。 

口 可 以 配置 JVM 拒 绝 客户 端 重新 协商 。 

口 使 用 默认 套件 配置 的 应 用 ， 可 以 自动 获得 并 启用 GCM 密 码 套件 。 

除 此 之 外 的 JSSE 新 特性 , 我 们 还 需要 多 等 一 段 时 间 直 到 Web 服 务 器 的 升级 启用 ,其 中 最 重要 

的 是 以 下 两 个 特性 。 

口 遵循 服务 器 密码 套件 优先 。 

口 支持 虚拟 安全 主机 。 

以 下 是 为 Java 8 应 用 推荐 的 密码 套件 配置 : 









































































































































TLS_ECDHE ECDSA WITH AES 128 GCM SHA256 
TLS_ ECDHE ECDSA WITH AES 256 GCM SHA384 

TLS_ECDHE ECDSA WITH AES 128 CBC SHA 

TLS_ ECDHE ECDSA WITH AES 256 CBC SHA 

TLS_ ECDHE ECDSA WITH AES 128 CBC SHA256 

TLS ECDHE ECDSA WITH AES 256 CBC SHA384 

TLS_ ECDHE RSA WITH AES 128 GCM SHA256 

TLS_ECDHE RSA WITH AES 256 GCM SHA384 

TLS_ ECDHE RSA WITH AES 128 CBC SHA 

TLS_ ECDHE RSA WITH AES 256 CBC SHA 

TLS_ECDHE RSA WITH AES 128 CBC SHA256 

TLS_ ECDHE RSA WITH AES 256 CBC SHA384 

TLS DHE_RSA WITH AES 128 GCM SHA256 

TLS DHE_RSA WITH AES 256 GCM SHA384 

TLS DHE_RSA WITH AES 128 CBC SHA 

TLS DHE_ RSA WITH AES 256 CBC SHA 

TLS DHE_ RSA WITH AES 128 CBC SHA256 

SSL_DHE_RSA_WITH 3DES_EDE_CBC_SHA 

推荐 的 列表 更 长 了 , 不 仅 是 因为 加 入 了 新 的 GCM 套 件 ,而且 也 加 回 了 DHE 套 件 , 因为 在 Java 




















8 中 可 以 安全 地 使 用 DHE。 


14.2.3 APR 和 OpenSSL 配置 
要 使 用 APR 和 OpenSSL 组 合 来 处 理 TLS ， 可 以 使 用 以 下 配置 片段 : 


<Connector 
protocol = "org.apache.coyote.http11.Http11AprProtocol" 
port = "443" 








SSLEnabled = "true" 
scheme = "https" 
secure = "true" 
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SSLVerifyClient = "none" 


SSLProtocol = "All" 
SSLCipherSuite = "ee 此 处 省 略 ， 描 述 见 后 " 


SSLHonorCipherOrder = "true" 

SSLCertificateFile = "${catalina.home}/conf/fd.crt" 
SSLCertificatekeyFile = "${catalina.home}/conf/fd.key" 
SSLCertificateChainFile = "${catalina.home}/conf/fd-intermediates.crt" 
SSLPassword = "KEY PASSWORD" 





SSLDisableCompression = "true" 
/> 


与 JSSE 的 配置 相 比 ， 有 些 地 方 很 类 似 而 有 些 地 方 则 存在 差异 。 

口 协议 选择 有 些 问题 ， 在 我 测试 的 版 本 (7.0.40 ) 中 ，Tomcat 无 法 感知 TLS 1.1 和 TLS 1.2 是 
否 配置 ， 也 就 是 说 SSLProtocol 参 数 唯一 实际 可 行 的 值 就 是 Al1，SSL 3 也 就 随 之 启用 ， 而 
所 有 禁用 SSL 3 的 相关 努力 也 就 失败 了 。Tomcat 升 级 后 ， 使 用 TLSv1+TLSv1.1+TLSv1.2 的 配 
置 串 可 以 解决 问题 。 

口 与 使 用 JSSE 不 同 ， 没 有 控制 SSL 2 握手 格式 兼容 性 的 办 法 ， 这 个 格式 总 是 被 支持 。 

口 可 以 通过 SSLHonorCipherOrder 参 数 来 指定 密码 套件 顺序 。 

口 没有 密 钥 库 的 概念 ， 密 钥 和 证 书 以 文件 方式 存储 。 

口 有 一 个 参数 可 以 禁用 压缩 ， 这 个 参数 是 必要 的 ， 因 为 OpenSSL 是 支持 压缩 的 ， 这 一 点 与 

JSSE 不 同 (但 是 你 应 该 永远 禁用 压缩 ， 否 则 就 可 能 会 遭受 CRIME 攻 击 )。 

口 没有 控制 TLS 会 话 缓存 的 方法 ， 这 可 能 会 让 人 感到 不 安 。 

对 于 推荐 的 密码 套件 配置 ， 参 考 11.3.1 节 中 的 “推荐 配置 ”部 分 ; 但 是 请 注意 ， 当 前 Tomcat 

Native 还 不 支持 ECDSA 密 钥 。 























































































































全 局 OpenSSL 配 置 
有 些 OpenSSL 特 性 是 全 局 配置 的 ， 需 要 通过 AprLifecyclelistener 配 置 来 控制 ， 例 如 : 
<Listener 


className = "org.apache.catalina.core.Aprlifecyclelistener" 
SSLEngine = "on" 
SSLRandomSeed = "builtin" 
FIPSMode = "off" 
/> 


在 以 下 两 种 情况 下 你 可 能 会 需要 对 配置 进行 一 些 修改 。 

口 如 果 OpenSSL 安 装 包 支 持 多 个 引擎 (例如 硬件 加 速 ), 可 以 在 SSLEngine 参 数 中 指定 所 需 的 
引擎 名 称 。 

口 如 果 OpenSSL 安 装 包 遵循 FIPS， 当 需要 启用 FIPS 模 式 时 ， 请 将 FIPSMode 参 数 设置 为 on。 

















配置 Microsoft Windows 和 和 
IIS 























Microsoft 是 SSL/TLS 和 PKI 生 态 系 统 的 核心 成 员 之 一 ， 其 用 户 和 操作 系统 ( 包括 桌面 系统 和 
移动 设备 ) 无 处 不 在 ,其 服务 器 和 云 平 台 上 运行 着 无 数 重 要 系统 。 大 量 网 站 都 是 在 他 们 的 开发 环 
境 下 创建 的 。 

Microsoft 有 着 悠久 的 发 展 历 史 ， 其 平台 有 着 超 长 的 生命 周期 ， 所 以 不 难 理解 在 SSL/TLS 方 面 
遇 到 的 最 大 的 问题 是 系统 的 复杂 性 以 及 缺乏 良好 的 文档 。 复 杂 性 来 自 于 一 个 事实 : Microsoft 的 软 
件 代码 库 历史 修 久 ， 长 期 以 来 又 不 断 加 入 各 种 新 特性 。 文 档 则 几乎 没有 ， 很 难 找到 有 用 的 信息 。 
你 常常 需要 在 老 旧 的 、 目 前 已 不 准确 的 在 线 文档 中 查找 。 总 而 言 之 ，Microsoft 的 密码 库 提供 了 对 
重要 特性 的 良好 支持 ， 但 也 带 着 一 些 自己 的 特性 。 


15.1 Schannel 


Microsoft 安 全 通道 ( secure channel, 通常 简称 为 Schannel? ) 是 一 种 加 密 组 件 ， 实现 了 一 组 用 
于 安全 通信 的 协议 。Schannel 是 Windows 平 台 上 的 官方 SSL/TLS 库 ， 这 意味 着 大 多 数 的 Windows 
程序 都 依赖 它 ， 特 别 是 Microsoft 自 己 开发 的 应 用 。 
































15.1.1 功能 概述 


Schannel 一 直 以 来 都 提供 了 对 SSL 和 TLS 协 议 功能 的 良好 覆盖 ( 参见 表 15-1 )。Microsoft 在 2009 
年 的 Windows 7 中 第 一 个 提供 了 对 TLS 1.2 的 文 持 。 相 比较 而 言 , OpenSSL 在 2012 年 才 增 加 了 对 TLS 
1.2 的 支持 ， 而 大 多 数 桌面 浏览 器 则 是 到 2013 年 才 开始 支持 。 遗 憾 的 是 ， 虽 然 TLS 1.2 功 能 已 经 
实现 , 但 默认 设置 却 是 禁用 。 更 加 讽刺 的 是 ， 随 后 在 2013 年 11 月 Microsoft 发 布 IE11 浏 览 絮 时 又 将 
TLS 1.2 设 为 默认 启用 。 

Microsoft 的 SSL/TLS 实 现 上 最 大 的 问题 是 ,Windows XP 不 支持 虚拟 安全 托管 ; 通过 服务 器 名 
称 指示 (server name indication，SNI ) 扩展 。 我 们 无 法 指责 Microsoft 在 2011 年 推出 Windows XP 时 
不 支持 SNI, 因为 SNI 是 2013 年 才 制定 的 。 但 是 ,出 于 这 样 那样 的 原因 ,Microsoft 在 随后 的 3 个 Service 













































































QD Secure Channel, https://msdn.microsoft.com/en-us/library/windows/desktop/aa380123(v=vs.85).aspx ( Microsoft Windows 
Dev Center， 检 索 于 2015 年 6 月 22 日 )。 
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Pack 服 务 更 新 包 中 还 是 没有 加 入 对 SNI 的 支持 ， 即 使 他 们 知道 这 个 操作 系统 将 使 用 很 长 时 间 。 直 
到 现在 ，Windows XP 仍然 拥有 相当 规模 的 月 
极为 复杂 和 昂贵 。 好 消息 是 ，Windows XP SP3 的 支持 在 2014 年 4 月 已 


逐渐 迁移 到 其 他 操作 系统 中 。 


:十 二 
注 [三 
/5、 





有 户 数 量 ， 





经 级 


SAR 





而 缺乏 SNI 的 支持 使 得 部 署 大 规模 安全 网 站 
止 , 希望 这 些 用 户 都 能 








本 节 描 述 了 Schannel、Microsoft SSL/TLS 库 的 功能 。Schannel 既 继承 了 所 依赖 的 底层 
库 ， 又 加 入 了 自己 的 一 些 库 ， 因 为 Windows 采 用 了 这 种 多 层次 的 加 密 结构 ， 有 时 候 很 
难 确 定 问题 的 来 源 是 哪里 。 例如， 虽然 Windows 8 的 文档 中 宣称 可 以 支持 最 大 3072 位 
的 DSA 密 钥 "， 但 Internet Explorer 却 不 能 与 使 用 大 于 1024 位 密 钥 的 服务 器 建立 连接 。 

这 个 限制 就 可 能 就 存在 于 Schannel 中 。 





























表 15-1 SChannel 中 SSL/TLS 协 议 特性 的 发 展 
Windows XP, WindowsVista, Windows 7, Windows 8, Windows 8.1, 
Server 2003/ Server2008/ Server2008 R2/ Server2012/ Server2012 R2 / 
lIS6 lIS7 lIS 7.5 IIS8 IIS 8.5 
椭圆 曲线 加 密 一 是 是 是 是 
客户 端 SNI 一 是 是 是 是 
服务 器 端 SNI 一 一 一 是 是 
TLS 1.0 可 选 是 是 是 是 
TLS 1.1、 TLS 1.2° = 是 (IE11)? 是 (IE11)? 是 
AES 套 件 一 是 是 是 是 
AES GCM 套 件 一 = 有 限 支 持 有 限 支 持 有 限 支 持 
大 于 1024 位 的 DH 参数 = 二 是 (IE11) 是 (IE11) 是 ” 
会 话 票 证 一 一 一 是 (客户 端 ) 是 
安全 重新 协商 MS10-049 MS10-049 MS10-049 是 是 
ALPN 一 一 一 一 是 (客户 端 ) 
BEAST 漏 洞 MS12-006 MS12-006 MS12-006 是 是 
OCSP stapling = 三 是 是 是 
默认 客户 端 担 手 格式 ” V2 v3 v3 v3 v3 

















a 此 行 展示 的 是 正 浏览 器 默认 设置 ， 其 他 应 用 可 能 有 不 同 的 默认 值 ， 依 赖 于 它们 的 具体 SSL 配 置 和 使 用 的 底层 库 。 





b Windows 7 加 入 了 TLS 1.1 和 1.2 的 支持 ， 但 默认 禁用 ， 


Cc Windows Server 2003 可 以 安装 KB948963 


d Windows 10 之 前 ， 





已 验证 (authenticated，GCM) 套 














(2008 年 发 布 ) 








端 通信 来 说 ， 这 意味 着 GCM 套 件 在 实践 


e 从 Windows 8 开始 ， 














DH 参 数 可 以 支持 最 高 4096 
f 有 两 种 客户 单 握手 格式 : 老 的 用 于 SSL 2， 新 上 


的 客户 端 将 无 法 访问 这 些 服务 器 。 








很 难 被 选用 。 





位 的 安全 性 。 
的 由 SSL 3 引入 。 不 是 所 有 服务 器 都 支持 老 格 式 ， 这 意味 着 一 些 非常 古老 


到 E11 发 布 后 启用 。 


以 支持 AES 密 码 套件 。 
件 只 支持 ECDSA 密 钥 交 换 ， 或 者 是 DHE 加 RSA 的 组 合 。 对 于 客 











I 





QD BCryptGenerateKeyPair function , https://msdn.microsoft.com/en-us/library/windows/desktop/aa375451%28v=vVs.85%29. 
aspx ( Cryptography API: Next Generation documentation， 检 索 于 2014 年 2 月 4 日 )。 
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15.1.2 ”协议 漏洞 


由 于 拥有 庞大 的 用 户 群 (哪怕 是 很 小 的 变化 也 可 能 影响 极 大 的 用 户 群 ， 需 要 大 量 的 测试 )， 
Microsoft 在 发 现 协议 问题 时 的 及 时 修复 上 有 良好 的 记录 。 

口 不 安全 的 重新 协商 
与 大 部 分 其 他 厂商 类 似 , Microsoft 对 不 安全 重新 协商 的 早期 解决 方案 也 是 直接 禁用 , 对 应 
的 KB77377 补 丁 在 2010 年 2 月 9 日 发 布 "。 随后 在 2010 年 8 月 10 日 对 所 有 Windows 平 台 发 布 了 
MS10-049”， 完 整地 实现 了 安全 重新 协商 ( RFC5746 ) 的 功能 。 

口 BEAST 
BEAST 漏 洞 在 2012 年 1 月 10 日 对 所 有 Windows 平 台 发 布 的 MS12-006 中 被 修复 ， 使 用 lm-1 
的 数据 包 拆 分 方法 来 实现 ， 这 一 方法 也 被 TLS 1.0 及 更 早 版 本 的 协议 补丁 所 使 用 。 


























口 CRIME 
Microsoft 在 自己 的 SSL/TLS 协 议 栈 中 从 未 支持 过 TLS 压 缩 , 因此 也 就 不 会 受到 CRIME 攻 击 
的 影响 。 

口 Logjam 





在 弱 DH 密 钥 交 换 的 攻击 响应 上 ，Microsoft 在 2015 年 5 月 更 新 了 客户 端 代码 (例如 正 浏 览 
器 )， 强 制 使 用 至 少 1024 位 的 PH 参数。 





15.1.3” 互 操作 性 问题 


Schannel 没 有 太 多 互 操 作 性 问题 ， 需 要 注意 的 方面 主要 是 弱 和 过 时 的 加 密 算法 。 

口 DSA 
Schannel 不 支持 高 于 1024 位 的 DSA 密 钥 ， 也 从 未 支持 过 。 鉴 于 Microsoft 用 户 群 的 广泛 性 ， 
DSA 名 存 实 亡 。 DSA 的 密 钥 在 加 密 强度 上 与 RSA 密 钥 大 致 相同 , 而 1024 位 对 于 现 有 标准 来 
讲 强 度 太 弱 。 在 实践 中 这 倒 不 是 什么 问题 ， 因 为 在 互联 网 上 就 几乎 没有 人 在 使 用 DSA 密 
钥 (也 永远 不 会 有 )。 

口 大 于 1024 位 的 DH 参数 
在 版 本 11 之 前 ，IE 浏 览 器 不 支持 大 于 1024 位 的 DH 参数 ， 但 这 个 问题 从 未 在 实践 中 带 来 互 
操作 性 问题 , 因为 IE 浏 览 器 并 不 支持 DHE 密 钥 交 换 和 RSA 身 份 验证 的 组 合 套件 (互联 网 上 
主要 使 用 的 DH 套件 )，2014 年 4 月 IE 加 入 了 DHE 和 RSA 组 合 的 套件 支持 , 但 只 支持 GCM 变 
体 ， 实 际 应 用 中 几乎 不 会 被 协商 到 。 

口 小 于 1024 位 的 RSA 密 铀 


























QTLS/SSL 漏 洞 可 能 允许 欺骗 , https://support.microsoft.com/zh-cn/kb/977377( Microsoft Security Advisory 977377, 2010 

年 2 月 9 日 )。 

@ SChannel 中 的 漏洞 可 能 允许 远程 代码 执行 , https://support.microsoft.com/zh-cn/kb/980436( Microsoft Security Bulletin 
MS10-049，2010 年 8 月 10 日 )。 

@) SChannel 中 的 漏洞 可 能 允许 信息 泄露 ，https://support.microsoft.com/zh-cn/kb/3061518 (KB 3061518，2015 年 5 月 12 日 )。 
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小 于 1024 位 的 RSA 证 书 和 密 钥 的 废弃 最 早 是 在 2012 年 8 月 14 日 作为 一 个 可 选 更 新 项 发 布 ， 
到 2012 年 10 月 9 日 调整 为 强制 更 新 "。 这 个 更 新 对 于 公有 和 私有 CA 颁发 的 证 书 都 是 有 效 的 。 








口 MDS 





2013 年 8 月 13 日 ， Microsoft 发 布 了 KB2862973 补 丁 ?, 宣布 在 Microsoft 根 证 书 计划 范围 内 废 
除 MD5 签 名 ， 这 一 更 新 适用 于 Windows Vista 、Server 2008 以 及 其 他 更 早 的 版 本 。Windows 
8.1 、RT 8.1 和 Server 2012 R2 之 后 的 平台 ， 在 操作 系统 发 布 时 已 经 废除 了 MD5 签 名 。 

由 于 这 一 更 新 只 适用 于 根 证 书 计划 成 员 签发 的 证 书 ， 私 有 CA 签发 的 MD5 签 名 证 书 因此 不 
受 影 响 。 如 果 需 要 完全 废除 MD5 证 书 ， 可 以 手动 安装 KB2862966 补 丁 ”。 











口 RC4 





Microsoft 是 第 一 家 废弃 RC4 的 厂商 ， 从 Windows 8.1 开 始 RC4 加 密 算 法 就 已 经 默认 禁用 了 。 
2013 年 11 月 13 日 ,Microsoft 对 Windows 8 和 之 前 的 版 本 发 布 了 KB2868725”, 应 用 程序 可 以 
通过 请 求 其 他 强加 密 算法 来 避免 使 用 RC4， 用 户 也 可 以 通过 修改 注册 表 完 全 禁用 RC4。 
IE11 浏 览 嚣 号称 是 第 一 个 默认 禁用 RC4 的 浏览 器 *， 虽 然 在 Windows 8.1 上 这 是 真 的 ， 但 在 
我 的 Windows 7 桌面 版 ( 安装 了 2869725 更 新 ) 上 ，RC4 仍 然 可 用 。 
用 户 升级 到 IE11 和 Windows 8.1 后 将 不 再 支持 RC4， 这 有 可 能 会 导致 互 操作 性 问题 。 根 据 
Microsoft 的 调查 ，2013 年 11 月 的 采样 中 大 约 有 3.9% 的 网 站 只 文 持 RC4，SSL Pulse 在 2014 
年 7 月 的 调查 数据 是 1.8%。 在 访问 这 些 网 站 时 ，IE11 在 首次 请 求 时 会 失败 ， 之 后 它 会 自动 
降级 重 连 ， 依 次 以 TLS 1.0( 仍然 不 支持 RC4 还 是 会 失败 ) 和 SSL 3 (这 次 有 RC4 了 ) 建立 
连接 。 因 此 对 于 只 支持 RC4 密 码 套件 的 网 站 , 会 发 生 以 下 两 种 情况 : (1) 如 果 站 点 支持 SSL 
3, IE11 最 终 会 用 这 个 协议 版 本 成 功 连接 , 但 在 成 功 连接 前 会 有 一 定 延 迟 ; (2) 如 果 网 站 不 
支持 SSL 3，IE11 就 无 法 访问 该 网 站 。 

Microsoft 不 应 该 因为 这 个 问题 受到 指责 。 作为 一 个 拥有 庞大 用 户 群 的 厂商 , 第 一 个 主动 禁 
用 一 个 常用 密码 套件 , 这 是 一 个 大 胆 的 举动 。 从 积极 的 一 面 来 讲 , 对 于 只 支持 RC4 的 网 站 
来 讲 ， 所 受到 的 影响 也 会 反 过 来 促进 网 站 运 维 来 改进 其 自身 的 配置 。 



























































DQ SHAIl1 


2013 年 11 月 12 日 ，Microsoft 宣 布 计划 于 2016 年 底 废弃 SHA1 签 名 证 书 ”, 同时 , 他 们 要 求 加 











@ 最 小 证 书 密 钥 长 度 更 新 ，https:/support.microsoft.com/zh-cn/kb/2661254 (KB 2661254，2012 年 8 月 14 日 )。 


©® 


® 


@ 











该 更 新 否决 Microsoft 根 证 书 计 划 的 MD5 散 列 算 法 , https://technet.microsoft.com/library/security/2862973 ( KB 2862973， 
2013 年 8 月 13 日 )。 
改善 Windows 中 弱 证 书 加 密 算法 管理 的 更 新 已 发 布 ，https://support.microsoft.com/zh-cn/kb/2862966 (KB 2862966， 
2013 年 8 月 13 日 )。 
































用 于 禁用 RC4 的 更 新 ，https://technet.microsoft.com/library/security/2868725 ( KB 2868725，2013 年 11 月 13 日 )。 








© IE11 Automatically Makes Over 40% of the Web More Secure While Making Sure Sites Continue to Work, http://blogs. 


© 


msdn.com/b/ie/archive/2013/11/12/iell-automatically-makes-over-40-of-the-web-more-secure-while-making-sure-sites- 
continue-to-work.aspx ( IEBlog，2013 年 11 月 12 日 )。 

SHA1 Deprecation Policy, http://blogs.technet.com/b/pki/archive/2013/11/12/shal-deprecation-policy.aspx ( Windows 
PKI blog，2013 年 11 月 12 日 )。 
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和 人 Microsoft 根 证 书 计划 的 新 成 员 必 须 提 供 4096 位 以 上 的 SHA2 签 名 的 RSA 密 钥 。 在 MD5 问 
题 上 ，Microsoft 在 终止 日 之 后 继续 使 用 了 MDS5， 从 而 遭遇 到 Flame 恶 意 软件 的 攻击 而 广 受 
批评 。 这 次 在 SHA1 问 题 上 ，Microsoft 显 然 不 希望 重 蹈 履 弧 。 
除了 以 上 列 出 的 潜在 问题 ， 你 需要 考虑 的 Schannel 相 关 最 主要 的 互 操 作 性 问题 ， 在 于 其 仍然 
需要 支持 运行 于 古老 的 操作 系统 ( 例如 SP3 之 前 Windows XP ) 上 的 古老 的 客户 端 (例如 IE6 浏 览 
器 )。 


15.2 ”Microsoft 根 证 书 计划 


Microsoft 根 证 书 计划 (Microsoft Root Certificate Program ) "维护 着 Windows 操 作 系统 中 的 可 
信 证 书 集合 。Windows Vista 和 更 新 版 本 的 操作 系统 在 交付 时 只 部 署 了 系统 所 必需 的 一 小 部 分 证 
书 ， 其余 的 根 证 书 会 在 第 一 次 遇 到 时 ( 例如 ,浏览 网 页 时 ) 安全 地 从 Microsoft 网 站 自动 安装 。 基 
于 这 种 实时 更 新 机 制 ，Microsoft 的 用 户 可 以 保证 总 是 能 持 有 最 新 的 可 信 证 书 。 

Windows XP 不 支持 这 种 自动 更 新 机 制 ， 需 要 安装 系统 更 新 来 升级 可 信和 根 证 书 ， 用 户 可 以 自 
己 从 Microsoft 的 更 新 列表 中 手动 下 载 。” 


15.2.1 管理 系统 可 信 证 书库 


如 果 运 行 的 是 新 版 的 Windows 系 统 ， 你 基本 不 需要 手动 维护 可 信 证 书库 ， 系 统 的 自动 更 新 机 
制 会 处 理 了 所 有 的 工作 。 可 信 证 书 列表 每 周 自动 更 新 一 次 , 实际 的 根 证 书 在 使 用 时 会 自动 按 需 下 
载 ， 虚 假 证 书 和 其 他 无 效 证 书 黑 名 单 每 天 都 会 下 载 更 新 。” 


注意 

Windows 实 际 运行 着 多 个 证 书库 。 最 主要 的 一 个 是 计算 机 级 别 的 ， 此 外 基于 不 同 服务 
和 不 同 用户 账 号 都 可 以 有 独立 的 证 书库 。 作 为 一 个 经 验 法 则 ,最 佳 的 工作 方式 是 使 用 
计算 机 证 书证 书库 。 

要 查看 和 修改 系统 的 可 信 证 书库 ， 可 以 使 用 Microsoft 管 理 控制 台 ( Microsoft management 
console，MMC ), 在 15.5 节 中 的 “创建 自 定义 HS 控制 台 ” 部 分 中 会 有 详细 说 明 。 最 核心 的 存 库 被 
称 为 可 信 根 证 书 颁 发 机 构 ( trusted root certification authority )， 它 包含 了 Microsoft 根 证 书 计 划 中 的 
所 有 根 证 书 。 默认 情况 下 ,该 证 书库 中 只 包含 了 少量 证 书 , 但 会 根据 使 用 情况 自动 更 新 , 例如 我 
的 Windows 桌 面 系统 ， 在 经 过 多 年 的 使 用 后 已 经 有 了 49 个 可 信和 根 证 书 。 










































































QD Introduction to The Microsoft Root Certificate Program , http://social.technet.microsoft.com/wiki/contents/articles/ 
3281.introduction-to-the-microsoft-root-certificate-program.aspx ( Microsoft TechNet Wiki， 检 索 于 2014 年 7 月 3 日 )。 
@ 配置 可 信和 根 证 书 和 不 允许 的 证 书 , https://technet.microsoft.com/zh-cn/library/dn265983.aspx ( Microsoft, 检索 于 2014 
年 7 月 2 日 )。 
@) Announcing the automated updater of untrustworthy certificates and keys, http://blogs.technet.com/b/pki/archive/2012/06 / 
12/announcing-the-automated-updater-of-untrustworthy-certificates-and-keys.aspx ( Windows PKI Blog，2012 年 6 月 11 日 )。 
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如 果 你 是 一 个 Windows 域 管理 员 , 那么 可 以 使 用 组 策略 管理 工具 来 合并 整个 域 中 的 可 信 证 书 
库 3 0 





15.2.2 ”导入 可 信 证 书 


添加 一 个 新 的 可 信 CA 很 容易 ， 在 拿 到 正确 的 证 书后 ， 需 要 只 是 按 证 书 导 入 向 导 操 作 。 首 先 
双击 证 书 (扩展 名 应 该 是 .cer )， 然 后 单 击 “ 导 和 证书” 按钮 即 可 完成 导入 。 
警告 
添加 一 个 新 的 可 信 CA 前 需要 仔细 衡量 有 无 潜在 的 安全 风险 ， 一 旦 你 信任 了 某 个 CA， 
也 就 代表 你 确信 这 家 CA 会 正确 地 签发 证 书 并 且 有 良好 的 安全 保障 。 请 记 住 这 一 点 ， 
每 一 个 CA 都 有 能 力 签发 世界 上 任意 网 站 的 证 书 2。 


15.2.3 ”可 信 证 书 黑 名 单 


由 于 Windows 的 自动 更 新 机 制 ， 如 果 想 撤销 某 个 特定 CA 中 的 信任 ， 简 单 地 从 可 信 根 证 书 颁 
发 机 构 〈trusted root certification authority ) 证 书库 中 删除 其 证 书 是 不 够 的 。 如 果 这 样 做 ， 系 统 在 
下 次 需要 时 会 自动 下 载 缺 少 的 证 书 。 

为 了 保证 将 证 书 永 久 加 入 黑 名单 ， 需 要 将 它 移动 到 不 可 信 证 书 (untrusted certificate ) 证 书库 
中 。 之 后 当 你 访问 一 个 依赖 该 可 疑 根 证书 的 网 站 时 ，IE 浏 览 器 ( 或 其 他 依赖 Windows 可 信 证 书库 
的 程序 ) 就 会 拒绝 连接 。 


15.2.4 ”禁用 根 证 书 自动 更 新 


如 果 你 不 喜欢 根 证 书 的 自动 更 新 机 制 ， 可 以 通过 以 下 步 又 来 禁用 。” 

(D 运行 gpeditmsc 打 开本 地 组 策略 编辑 器 。O) 在 左 窗 格 中 ， 依 次 选择 “计算 机 配置 ”一 “ 管 
理 模板 ”一 “系统 ”一 “Interet 通 信 管 理 ” 一 “Internet 通 信 设置 "。(3) 在 右 窗 格 中 ， 找 到 并 双击 
“关闭 自动 根 证 书 更 新 "。(4) 要 禁用 自动 更 新 ， 请 将 该 设置 更 改 为 “已 启用 ”。 

请 记 住 ， 从 禁用 自动 更 新 的 这 一 刻 起 ， 就 必须 手动 地 维护 根 证 书 。 


15.3 配置 


有 趣 的 是 对 于 一 个 图 形 界面 为 主 的 操作 系统 ，Windows 居 然 没 有 一 个 工具 可 以 用 来 配置 
SSLATLS 协 议 、 套 件 和 加 密 算 法 。HS 自 带 了 一 个 用 于 密 钥 和 证 书 操作 的 简单 用 户 界面 , 但 是 其 他 























































































































Q@ 管理 可 信 根 证 书 ， https://technet.microsoft.com/en-us/library/ce754841.aspx ( Windows Server 2012 documentation ， 
仿 索 于 2014 年 7 月 3 日 )。 
@@ 有 一 个 被 称 为 “名 称 约 束 ” 的 特性 ， 可 以 限制 CA 只 能 签发 指定 名 称 下 的 证 书 ， 但 这 个 特性 并 未 得 到 广泛 使 用 。 
® Certificate Support and Resulting Internet Communication in Windows Vista, https://technet.microsoft.com/en-us/library/ 
cc749331%28WS.10%29.aspx( Microsoft TechNet， 检 索 于 2014 年 7 月 3 日 )。 
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配置 都 需要 直接 修改 注册 表 。 


注意 

本 节 中 的 说 明 适 用 于 操作 系统 以 及 使 用 系统 库 的 程序 ， 自 带 SSL/TLS 和 PKI 库 的 程序 
不 受 影响 ， 除 非 它们 继承 Schannel 的 配置 。 例如，Firefox 浏 览 器 使 用 了 自己 的 库 和 根 
证 书 ，Chrome 浏 览 器 虽然 使 用 了 自己 的 库 但 使 用 了 系统 的 根 证 书 。 


15.3.1 Schannel 配置 


Schannel 配 置 可 以 用 来 调整 协议 和 密码 套件 的 使 用 。 对 于 协议 来 说 ， 客 户 端 应 用 和 服务 器 应 
用 存在 单独 的 控件 ; 而 对 于 其 他 一 切 ， 存 在 一 组 适用 于 所 有 应 用 类 型 的 注册 表 项 。 
所 有 Schannel 配 置 选项 都 般 套 在 下 面 的 根 项 之 下 。 


HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel 


1. 协议 配置 

协议 是 使 用 向 套 在 Protocols 子 项 下 的 大 量 注册 表 项 进行 配置 的 。 每 个 协议 版 本 都 有 一 个 自 
己 的 项 ， 加 上 两 个 分 别 用 于 客户 端 和 服务 需 应 用 的 子 项 。 从 Windows Server 2008 R2 和 Windows 7 
开始 ，Windows 支 持 从 SSL 2.0 到 TLS 1.2 之 间 的 所 有 主要 协议 版 本 。 以 下 是 注册 表 的 整体 结构 : 了 


Protocols\SSL 2. 
Protocols\SSL 2.0\Client 
Protocols\SSL 2.0\Server 
Protocols\SSL 3.0 
3. 
35 
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Protocols\SSL 3.0\Client 
Protocols\SSL 























Protocols\TLS 1.0 
Protocols\TLS 1.0\Client 
Protocols\TLS 1.0\Server 
Protocols\TLS 1.1 
Protocols\TLS 1.1\Client 
Protocols\TLS 1.1\Server 
Protocols\TLS 1.2 
Protocols\TLS 1.2\Client 
Protocols\TLS 1.2\Server 


每 个 叶 节 点 可 以 包含 下 面 两 个 DWORD 项 之 一 或 全 部 两 个 。 

DQ DisableByDefault 
对 于 那些 不 明确 指定 协议 版 本 并 使 用 系统 默认 设置 的 应 用 ， 此 项 可 以 用 来 控制 其 个 协议 
是 否 启用 。 如 果 项 不 存在 或 者 值 为 0， 则 协议 默认 启用 ; 如 果 值 为 1， 则 协议 默认 禁用 。 通 
常情 况 下 ，Windows 会 禁用 SSL 2 并 启用 所 有 其 他 协议 。 

口 Enabled 

此 项 可 以 用 来 对 所 有 应 用 强制 禁用 某 个 指定 协议 版 本 ， 即 使 应 用 明确 选用 了 该 协议 也 是 






























































简便 起 见 ， 列表 中 省 略 了 部 分 子 项 : Multi-Protocol Unified Hello、PCT 1.0 和 DTLS 1.0, 它们 已 经 过 时 且 极 少 使 
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如 此 。 要 强制 禁用 某 个 协议 , 请 将 Enabled 项 设置 为 0; 如 果 这 个 项 不 存在 或 者 值 不 为 0( 文 
档 建议 值 是 0xFFFFFFFF )， 则 将 启用 协议 。 
对 协议 配置 进行 更 改 之 后 ， 需 要 重启 所 有 活动 程序 才能 使 更 改 生 效 。 
2. 密码 套件 算法 选择 
密码 套件 配置 有 两 种 配置 方法 。 组 成 套件 的 加 密 算 法 可 以 单独 进行 配置 。 此 外 ， 如果 某 个 特 
定 算法 被 禁用 , 那么 所 有 使 用 该 算法 的 密码 套件 也 将 被 禁用 。 这 种 机 制 确保 了 不 会 在 任何 地 方 使 
用 弱 算 法 ， 即 使 其 他 地 方 的 配置 建议 使 用 弱 算 法 也 不 会 生效 。 
有 以 下 子 项 可 以 设置 ,每 种 算法 一 个 。? 
iphers\AES 128 
iphers\AES 256 
phers\DES 56 
phers\NULL 
phers\RC4 40/128 
phers\RC4 56/128 
phers\RC4 64/128 
phers\RC4 128/128 
phers\Triple DES 168 
Hashes\MD5 
Hashes\SHA 
Hashes\SHA256 
Hashes\SHA384 
KeyExchangeAlgorithms\Diffie-Hellman 
KeyExchangeAlgorithms\ECDH 
KeyExchangeAlgorithms\PKCS 
注意 
PKCS 密 铀 的 配置 仅 适 用 于 RSA 密 铀 交换 ，RSA 身 份 验证 不 受 影响 (例如 ，TLS RSA * 
套件 会 被 禁用 ， 但 是 TLS ECDHE RSA * 不 会 )。 


要 禁用 某 个 算法 ， 在 对 应 的 项 下 面 创建 一 个 名 称 为 Enabled 的 DWORD 项 并 设置 为 0， 需 要 重新 
启用 这 个 算法 时 ,可 以 删除 Enabled 项 或 将 值 设 为 oxffffffff。 有 时 配置 更 改 会 立刻 生效 , 但 为 了 
确保 新 配置 可 靠 加 载 ， 务 必 记 得 重新 启动 程序 。 


注意 
对 散 列 的 限制 仅 适 用 于 密码 套件 , 而 不 包含 证 书签 名 。 如 果 要 禁用 MD5 证 书签 名 ， 需 
要 按照 本 章 后 面 的 说 明 来 操作 。 


15.3.2 ”密码 套件 配置 


禁用 单独 的 算法 是 很 有 用 , 但 是 大 多 数 情 况 下 , 你 真正 想 要 的 是 明确 指定 启用 的 密码 套件 以 
及 加 载 顺序 。 在 Vista 以 及 更 新 的 系统 上 ，Schannel 人 允许 这 样 的 设置 ， 并 且 这 种 调整 会 同时 影响 客 
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GD 更 老 的 Windows 版 本 还 支持 RC2 40/128、RC2 56/128 和 RC2 128/128。 
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户 端 和 服务 顺应 用 。 
密码 套件 配置 是 唯一 可 以 通过 图 形 界 面 进行 配置 的 Schannel 设 置 。 
(1) 首先 ， 运 行 gpedit.msc 启 动 本 地 组 策略 编辑 器 。” 
(2) 在 左 窗 格 中 ， 依 次 选择 :“ 计 算 机 配置 ”一 “管理 模板 ”一 “网 络 ” 一 “SSL 配 置 设 置 ”。 
(3) 然后 在 右 窗 格 中 ， 双 击 “SSL 密 码 套件 顺序 ”并 编辑 修改 。 


警告 
通过 策略 编辑 器 修改 密码 套件 配置 时 , 请 密切 关注 最 终 的 套件 字符 串 长 度 ， 编 辑 器 只 
支持 最 大 1023 字 节 的 数据 并 会 在 数据 长 度 超 出 时 自动 截断 。 


在 Microsoft 的 网 站 上 可 以 找到 Schannel 支 持 的 所 有 密码 套件 列表 ”, 以 下 是 我 推荐 的 密码 套件 
配置 ， 着 重 考虑 了 安全 性 和 性 能 













































































TLS_ECDHE ECDSA WITH AES 128 GCM SHA256 P256 
TLS_ ECDHE ECDSA WITH AES 256 GCM SHA384 P384 
TLS_ ECDHE ECDSA WITH AES 128 CBC SHA P256 
TLS_ ECDHE ECDSA WITH AES 256 CBC SHA P256 
TLS_ ECDHE ECDSA WITH AES 128 CBC SHA256 P256 
TLS_ ECDHE ECDSA WITH AES 256 CBC SHA384 P384 
TLS_ECDHE RSA WITH AES 128 CBC SHA P256 

TLS_ ECDHE RSA WITH AES 256 CBC SHA P256 

TLS_ ECDHE RSA WITH AES 128 CBC SHA256 P256 








TLS_DHE RSA WITH AES 128 GCM SHA256 
TLS_ DHE RSA WITH AES 256 GCM SHA384 


我 作 了 以 下 假设 。 

口 只 使 用 支持 前 向 保密 的 套件 。 

口 同时 支持 RSA 和 ECDSA 密 钥 ， 目 前 绝 大 多 数 网 站 使 用 的 都 是 RSA 密 钥 ， 所 以 ECDSA 套 件 

大 部 分 情况 下 并 不 起 作用 ， 但 好 处 是 在 未 来 需要 迁移 时 不 用 再 修改 套件 配置 。 

口 最 后 两 个 套件 于 2014 年 4 月 在 Windows 8.1 和 Server 2012 R2 中 加 入 支持 ”， 于 2015 年 5 月 在 
Windows 7 和 Server 2008 R2 中 加 入 支持 ， 实 际 环境 中 还 不 清楚 是 否 会 真正 使 用 这 两 个 套 
件 ， 理 论 上 讲 支持 这 两 个 套件 的 客户 端 也 支持 更 快 的 ECDHE 套 件 ， 所 以 会 优先 选择 前 面 
的 EC 套件 。 

口 使 用 ECDHE 、RSA 和 GCM 组 合 的 套件 〈 例 如 TLS_ECDHE_RSA_NITH_AES 128_GCM_SHA256 
P256 ) 还 不 能 使 用 ， 在 本 书写 作 期 间 ( 2015 年 7 月 )， 我 们 了 解 到 Windows 10 桌 面 系统 已 
经 支持 这 种 组 合 , 但 Microsoft 的 服务 器 平台 却 不 支持 。 当 下 一 代 Windows 服 务 器 平台 发 布 




























































































GD 不 是 所 有 Windows 操 作 系 统 都 提供 了 这 个 工具 ， 比 如 Windows 7 专业 版 有 ,但 是 Windows 7 家 庭 版 没有 。 如 果 此 工 

有 具 不 存在 ， 可 以 直接 修改 注册 表 ， 本 节 后 面部 分 有 这 方面 的 介绍 。 

@) Cipher Suites in Schannel, https://msdn.microsoft.com/en-gb/library/windows/desktop/aa374757%28v=vs.85%29.aspx 
( Microsoft， 检 索 于 2014 年 7 月 17 日 )。 






























































©® KB 2929781: Update adds new TLS cipher suites and changes cipher suite priorities in Windows 8.1 and Windows Server 
2012 R2, https://support.microsoft.com/en-us/kb/2929781 ( Microsoft，2014 年 4 月 8 日 )。 
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时 , 或 者 会 重新 引入 这 种 组 合 套件 , 你 应 该 将 它们 放 在 其 他 RSA 套 件 之 前 ,， 即 对 RSA 算 法 
优先 使 用 这 种 组 合 。 
上 述 配 置 只 选用 了 支持 前 向 保密 和 强加 密 的 套件 。 大 部 分 现代 浏览 器 和 其 他 客户 端 都 能 成 功 
建立 连接 ,但 一 些 老 客户 端 可 能 会 有 问题 。 例 如 ， 运行 于 Windows XP 上 的 老 版 本 下 浏览 器 就 会 





连接 失败 。 











如 果 你 确实 需要 为 这 些 老 客户 端 提 供 支 持 ( 并 且 只 有 在 这 种 情况 下 )， 可 以 将 以 下 套件 添加 
到 密码 套件 列表 的 尾部 : 


TLS_RSA WITH AES 128 CBC SHA 





TLS_RSA WITH AES 256 CBC SHA 





TLS_RSA WITH 3DES EDE CBC SHA 





TLS_RSA WITH RC4 128 SHA 


前 三 个 套件 不 在 推荐 列表 中 是 因为 它们 不 支持 前 向 保密 , 最 后 的 套件 有 同样 的 问题 , 并且 还 





























依赖 不 安全 的 RC4 算 法 。 记 住 ， 只 有 在 仔细 研究 了 RC4 的 弱点 并 充分 理解 后 ， 你 才 可 以 判断 是 否 
使 用 RC4， 强 烈 建议 你 从 加 密 专 家 那里 获取 专业 的 意见 。 


:十 汪 
注 ES 
/二 己 、 


如 果 你 仔细 查看 套件 的 名 称 ， 就 会 发 现 Microsoft 使 用 了 扩展 密码 套件 名 称 的 语法 ,， 通 
过 正式 名 称 ( 比如 TLS ECDHE ECDSA WITH AES 128 GCM SHA256 ) 和 一 个 P256 或 P384 的 
后 级， 这 两 个 后 级 指定 了 用 于 ECDHE 密 钥 交 换 的 椭圆 曲线 算法 ， 分 别 代 表 NIST 的 
secp256r1 和 secp384r1 曲 线 模型 。 尽 管 两 种 后 级 实际 使 用 的 底层 套件 名 称 相同 ， 这 种 
命名 方法 可 以 让 你 自主 选择 优先 使 用 哪 种 曲线 模型 。 














如 果 你 想 通过 直接 操作 注册 表 来 配置 密码 套件 ， 对 应 的 注册 表 项 是 : " 











HKEY_LOCAL MACH 


NE\SOFTWAR 





E\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 








如 果 该 项 为 空 ， 可 以 创建 一 个 新 项 ， 即 类 型 为 MULTI 57 的 Functions (字符 串 列 表 )。 将 值 设 
置 为 需要 默认 启用 的 密码 套件 列表 并 按 优先 顺序 排序 。 直 接 使 用 注册 表 编 辑 器 进行 此 修改 很 容 
易 ， 如 果 想 要 从 命令 行 或 者 注册 表 文 件 导入 ,请 将 所 有 套件 放 在 一 行内 并 用 逗号 隔 开 , 注意 不 要 























插入 任何 空格 。 注 册 表 修改 完成 后 ， 需 要 重新 启动 系统 才能 生效 。 


15.3.3” 密 钥 和 签名 限制 


不 久 前 , Microsoft 提 供 了 在 证 书 链 验 证 时 对 弱 加 密 算法 限制 的 功能 。 这 一 特性 在 Windows 8.1 
和 Windows Server 2012 R2 之 后 已 默认 提供 ， 更 早 的 Windows 系 统 可 以 通过 安装 KB2862966 补 丁 























Q@ 有 多 个 项 可 以 影响 密码 套 伯 











F 的 配置 ， 有 些 文章 推荐 使 用 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\ 











Cryptography\Configuration\Local\SSL\00010002， 但 此 项 优先 级 较 低 ， 在 有 其 他 配置 时 可 能 失效 。 此 外 ， 也 应 








当 尽量 避免 直接 操作 注册 表 。 

















@ Windows 弱 证 书 加 密 算法 管理 改进 的 更 新 ，https://support.microsoft.com/en-us/kb/2862966 ( KB 2862966，2013 年 8 


月 13 日 )。 
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获取 。 
Microsoft 的 策略 框架 具有 良好 的 扩展 性 并 且 支 持 很 多 有 用 的 功能 。 
口 禁用 弱 加 密 算法 
口 对 于 密 钥 算法 ， 强 制 最 小 密 钥 长 度 
口 根据 证 书 类 型 执行 不 同 的 策略 ( 例如， 对 于 服务 器 身份 验证 和 代码 签名 ， 可 以 使 用 不 同 
的 策略 ) 
口 指定 策略 应 用 于 所 有 证 书 或 者 只 针对 公共 CA 
口 指定 策略 应 用 于 某 个 特定 日 期 之 后 签发 的 证 书 〈 例如， 兼容 老 证 书 ， 但 不 允许 新 证 书 使 
用 弱 算法 ) 
口 记录 策略 违规 行为 
口 记录 违规 行为 ， 但 除 此 之 外 并 不 强制 执行 策略 
口 创建 每 证 书 例外 

推荐 你 先 只 启用 策略 的 日 志 功 能 , 观察 违反 策略 的 场景 ,避免 因为 预想 与 实际 不 一 致 而 导致 
潜在 的 损失 。 通 过 不 断 调 整 和 观察 实际 情况 ,最 后 可 以 相对 安全 地 启用 策略 的 强制 实施 。 一 旦 一 
个 策略 在 某 个 机 器 上 测试 通过 ， 就 可 以 通过 组 策略 对 象 将 它 推送 到 整个 网 络 。 

在 本 书写 作 时 , 已 经 可 以 限制 DSA、ECDSA 和 RSA 密 钥 中 MD5 和 SHA1 签 名 的 使 用 ， 这 可 以 
通过 修改 以 下 注册 表 项 下 的 内 容 来 实现 : 


HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType ON © 
CertDllCreateCertificateChainEngine\Config 


为 策略 可 以 很 复杂 ，Microsoft 通 过 特殊 的 命名 方法 来 表示 存储 在 注册 表 中 的 规范 ,每 个 项 
名 称 必须 采用 以 下 格式 : 
Weak<CryptoAlg><ConfigType><ValueType> 


要 构建 一 个 项 名 称 ， 请 用 表 15-2 中 对 应 选项 的 值 蔡 换 掉 名 称 模板 中 的 选项 。 
表 15-2 ”注册 表 项 名 称 模板 选项 










































































选 项 值 描 述 
CryptoAlg 。 Md5 指定 策略 所 应 用 到 的 算法 的 名 称 

Sha1 

Dsa 

Ecdsa 

Rsa 











ConfigType ”Thridparty ”应 用 于 Microsoft 根 证 书 计划 的 公共 CA 
All 应 用 于 所 有 根 证 书 (公共 和 私有 CA) ， 因 为 ThirdParty 是 All 的 子 集 ， 所 以 也 适用 以 下 条 15 


口 在 AL 上 设置 的 大 部 分 标志 也 会 在 ThirdParty 上 设置 ， 日 志 记 录 标 志 不 会 受到 影响 
口 证 书签 发 时 间 以 最 早 的 (AfterTime) 为 准 
口 窗 钥 长 度 以 最 大 的 (MinBitLength) 为 准 
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( 续 ) 
选 项 值 描 述 
ValueType Flags 用 于 选择 哪些 证 书 类 型 受 限制 以 及 如 何 受 限制 的 标志 列表 ， 详 见 后 面 的 说 明 

(REG DWORD 

MinBitLength 引 定 密 钥 算 法 的 最 小 公 钥 长 度 (REG_DWORD) 

AfterTime 策略 仅 对 指定 日 期 后 签发 的 证 书 有 效 ， 时 间 改 证 书 链 除外 (REG_BINARY 类 型 的 一 个 8 
字 节 FILETIME) 

Sha256Allow 明确 允许 的 弱 证 书 列表 ， 以 十 六 进 制 的 SHA256 指 纹 表示 (REG_52 或 REG MULTI 527) 























项 标志 有 双重 含义 ， 首 先 它们 被 用 来 指定 规则 是 否 启用 和 生效 ， 参 见 表 15-3。 
表 15-3 ”用 于 规则 启用 和 生效 的 标志 























标 志 描 述 
CERT_CHAIN_ENABLE_WEAK_SETTINGS_FLAG (0x80000000) ”此 标志 用 于 指定 策略 是 否 启用 ， 如 果 未 启用 ， 则 同一 个 














CryptoAlg 和 ConfigType 组 合 的 其 他 设置 都 无 效 





























CERT_CHAIN_ENABLE_WEAK_LOGGING FLAG (0x00000004) ”此 标志 用 于 指定 策略 日 志 是 否 启 用 ， 即 为 策略 违规 生成 日 志 

CERT CHAIN ENABLE ONLY WEAK LOGGING FLAG 此 标志 用 于 指定 策略 是 否 仅 启用 日 志 功能 ， 即 对 策略 违规 只 

(Ox00000008) 做 日 志 记 录 ， 不 实际 处 理 。 这 个 设置 在 实际 启用 策略 前 的 测 
试 中 非常 有 用 








其 次 ,其余 标志 用 于 指定 规则 应 用 于 哪些 证 书 类 型 ， 详 见 表 15-4。 


表 15-4 ”用 于 指定 规则 对 应 证 书 类 型 的 标志 








































































































标 志 描述 

CERT_CHAIN DISABLE ALL EKU WEAK FLAG (0x00010000) 策略 应 用 于 所 有 证 书 类 型 
CERT_ CHAIN DISABLE SERVER AUTH WEAK FLAG (0x00100000) 策略 应 用 于 服务 器 身份 验证 证 书 
CERT_CHAIN DISABLE CODE SIGNING WEAK_FLAG (0x00400000) 策略 应 用 于 代码 签名 证 书 
CERT_CHAIN_DISABLE_MOTW_CODE_SICNING_NEAK_FLAG (0x00800000) 策略 应 用 于 从 网 站 下 载 的 代码 签名 证 书 
CERT_CHAIN DISABLE_TIMESTAMP_WEAK_FLAG (0x04000000) 策略 应 用 于 时 间 发 证书 
CERT_CHAIN DISABLE MOTW TIMESTAMP_WEAK_FLAG (Ox08000000) 策略 应 用 于 从 网 站 下 载 的 时 间 发 证书 

注意 


要 指定 一 个 弱 签 名 算法 策略 ， 请 在 对 应 的 注册 表 项 中 启用 CERT _CHAIN ENABLE WEAK 
SETTINGS_FLAG (例如 ， 对 于 MD5 是 WeakMd5AllFlags )。 要 指定 一 个 弱 密 钥 算 法 策略 ， 
启用 相应 的 标志 并 配置 最 小 密 钥 长 度 ( 例如， 如 果 需 要 屏蔽 所 有 小 于 1024 位 的 RSA 密 
钥 ， 请 将 WeakRsaAllMinBitLength 设 置 为 1024 )。 





1. 使 用 CertUtil 来 管理 加 密 策略 
直接 操作 注册 表 有 时 候 会 非常 棘手 ,这 是 必然 的 ， 因 为 策略 实在 是 相当 复杂 。 另 一 种 维护 策 
略 的 方法 是 使 用 CertUtil 工 具 ， 它 能 够 展示 、 创 建 、 修 改 、 删 除 策略 的 注册 表 项 ， 也 可 以 单独 修 
改 其 中 的 标志 、 时 间 和 字符 串 列表 。 
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$ CertUtil -setreg -? 
用 法 : 
CertUtil] [选项 ] -setreg [{calrestore|policy|exit|template|enroll|chain|PolicyServers}\© 
[ProgId\]]RegistryValueName 值 
设置 注册 表 值 
Ca -- 使 用 CA 的 注册 表 项 
restore -- 使 用 CA 的 还 原 注册 表 项 
policy -- 使 用 策略 模块 的 注册 表 项 
exit -- 使 用 第 一 个 退出 模块 的 注册 表 项 
template -- 使 用 模板 注册 表 项 (对 用 户 模板 使 用 -user) 
enroll -- 使 用 注册 注册 表 项 (对 用 户 上 下 文 使 用 -user) 
chain -- 使 用 链 配置 注册 表 项 
PolicyServers -- 使 用 策略 服务 器 注册 表 项 
ProgId -- 使 用 策略 或 退出 模块 的 ProgId (注册 表 子 项 名 称 ) 











RegistryValueName -- 注册 表 值 名 称 (使 用 "Name*" 来 作为 匹配 值 的 前 级 ) 
Value -- 新 的 数字 、 字 符 串 或 日 期 注册 表 值 或 文件 名 。 

如 果 一 个 数值 以 "+ "或 "- "开始 ， 在 新 的 值 中 指定 的 位 将 在 

现 有 的 注册 表 值 中 被 设置 或 清除 





如 果 字 符 囊 值 以 "+" 或 "-" 开 始 ， 并 且 现 有 值 为 

一 个 REG_MULTI_SZ 值 ， 此 字符 串 将 添加 到 

现 有 的 注册 表 值 中 ， 或 从 中 删除 

要 强制 创建 一 个 REG_ MULTI_SZ 值 ， 请 在 字符 串 值 的 结尾 添加 
一 个 "\n" 





如 果 值 以 "@" 开 始 ， 则 值 的 其 余部 分 为 

文件 的 名 称 ， 该 文件 包含 

代表 一 个 二 进 制 值 的 十 六 进 制 文 本 

如 果 它 未 引用 一 个 有 效 文件 ， 则 会 将 其 作为 
[Date][+|-][dd:hh] 进 行 分 析 ， 可 选 日 期 加 上 或 减 去 可 选 
天 数 和 小 时 数 

如 果 同 时 指定 两 者 ， 则 使 用 加 号 (+) 或 减 号 (-) 分 陪 符 
将 "now+dd:hh" 用 于 相对 于 当前 时 间 的 日 期 


使 用 "chain\ChainCacheResyncFiletime @now "有 效 地 刷新 缓存 的 CRL 


选项 : 

-二 -- 强制 覆盖 

-USeT -- 使 用 HKEY_ CURRENT_USER 项 或 证 书库 

-GroupPolicy -- 使 用 组 策略 证 书库 

-gmt -- 将 时 间 显 示 为 CMT 

-seconds -- 用 秒 和 毫秒 显示 时 间 

-V -- 详细 操作 

-privatekey -- 显示 密码 和 私 钥 数据 

-config Machine\CAName -- CA 和 计算 机 名 称 字 符 串 
CertUtil -? -- 显示 谓词 列表 (命名 列表 ) 
CertUtil -setreg -? -- 显示 "Setreg" 谓 词 的 帮助 文本 
CertUtil -v -? -- 显示 所 有 谓词 的 所 有 帮助 文本 
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警告 
如 果 你 使 用 CertUtil 工 具 修改 注册 表 项 ， 对 于 加 密 策略 的 修改 会 立刻 生效 。 老生常谈 ， 
建议 在 修改 前 备份 好 注册 表 。 
2. 记录 弱 证 书 链 
可 以 记录 弱 证 书 链 用 于 日 后 分 析 。 要 启用 这 个 特性 ， 请 使 用 所 需 的 证 书库 位 置 配置 
WeakSignatureLogDir 项 : 








$ CertUtil -setreg chain\WeakSignatureLogDir C:\Log\WeakCertificateChains 


此 外 ， 


需要 确保 策略 中 的 CERT CHAIN ENABLE WEAK LOGGING FLAG 标 志 有 效 ， 或 者 在 希望 只 记 








录 而 不 实际 执行 策略 时 ,设置 CERT CHAIN ENABLE ONLY WEAK LOGGING FLAG 标 志 。 
3. 完整 的 策略 示例 


为 了 详细 说 明 , 我 会 展示 一 个 简单 的 策略 。 该 策略 会 使 用 日 志 记 录 对 包含 以 下 内 容 的 任何 证 











T 








书 强制 实施 限制 。 








口 MD5 签 名 

口 小 于 1024 位 的 RSA 密 钥 
口 小 于 1024 位 的 DSA 密 钥 
口 小 于 160 位 的 ECDSA 密 角 








初始 策略 将 假定 只 进行 日 志 记 录 而 不 强制 实施 : 


Cer 
Cer 
Cer 
Cer 
Cer 
Cer 
Cer 
Cer 





OX8001 


CERT_C 
CERT_C 





tUtil -setreg chain\WeakSignatureLogDir C:\Log\WeakCertificateChains 
tUtil -setreg chain\WeakMd5AllFlags Ox80010008 

tUtil -setreg chain\WeakRsaAllFlags Ox80010008 

tUtil -setreg chain\WeakRsaAllMinBitLength 1024 

tUtil -setreg chain\WeakDsaAllFlags Ox80010008 

tUtil -setreg chain\WeakDsaAllMinBitLength 1024 

tUtil -setreg chain\WeakEcdsaAllFlags Ox80010008 

tUtil -setreg chain\WeakEcdsaAllMinBitLength 160 























L0008 这 个 值 代表 了 以 下 三 个 标志 的 组 合 : 


HAIN_ ENABLE WEAK SETTINGS FLAG (0x80000000) 
HAIN DISABLE ALL EKU WEAK FLAG (0x000010000) 





CERT_C 














HAIN ENABLE ONLY WEAK LOGGING FLAG (0x000000008) 


对 应 的 注册 表 文 件 是 : 


Windows Registry Editor Version 5.00 











[HKEY_ 
CertDllCreateCertificateChainEngine\Config] 
eakSignatureLogDir"="C:\\Log\\WeakCertificateChains" 
"WeakMd5AllFlags"=dword:80010008 
"WeakRsaAllFlags"=dword:80010008 
"WeakRsaAllMinBitLength"=dword:00000400 
"WeakDsaAllFlags"=dword:80010008 
"WeakDsaAllMinBitLength"=dword:00000400 
"WeakEcdsaAllFlags"=dword:80010008 
"WeakEcdsaAllMinBitLength"=dword:000000a0 


LOCAL MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\ © 
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当 和 希望 将 策略 从 纯 日 志 模 式 调 整 为 正式 启用 时 ， 可 以 将 Oox8o01008 更 改 为 0x80010004 (将 
CERT CHAIN ENABLE ONLY WEAK LOGGING FLAG 替 换 为 CERT CHAIN ENABLE WEAK LOGGING FLAG ), 重新 
加 载 配置 文件 。 或 者 可 以 通过 以 下 命令 单独 调整 ; 


$ CertUtil -setreq chain\WeakMd5Flags -Ox00000008 
$ CertUtil -setreq chain\WeakMd5Flags +0x00000004 











15.3.4 重新 协商 配置 


关于 重新 协商 ，Windows 系 统 有 两 三 个 可 以 自 定义 配置 的 地 方 ， 其 中 最 重要 的 是 对 安全 重新 
协商 的 支持 。 你 应 该 在 所 有 服务 器 和 个 人 工作 站 上 都 启用 这 一 特性 ，Windows 8 之 前 的 版 本 需要 
安装 MS10-049 补 丁 。 

然而 , 仅仅 在 服务 器 上 启用 安全 重新 协商 并 不 能 从 根本 上 完全 解决 问题 , 出 于 兼容 性 的 考虑 ， 
大 部 分 服务 器 的 配置 仍然 支持 不 安全 的 客户 端 重新 协商 请 求 ， 在 MS10-049 补 丁 中 这 被 称 为 兼容 
重新 协商 ( compatible renegotiation )。 在 这 种 模式 下 ， 当 客户 端 或 者 服务 器 发 起 重新 协商 请 求 时 ， 
即使 无 法 达成 安全 重新 协商 ，Schannel 也 不 会 直接 终止 连接 。 

如 果 你 不 需要 服务 器 的 重新 协商 特性 , 解决 问题 就 很 容易 了 。 在 正式 支持 安全 重新 协商 之 前 ， 
Microsoft 发 布 过 一 个 过 渡 补 本 KB977377， 人 允许 用 户 直接 禁用 重新 协商 。 如 果 你 在 服务 器 禁用 了 
重新 协商 ， 客 户 端 是 否 支 持 安全 重新 协商 也 就 无 所 谓 了 。 要 禁用 重新 协商 ， 请 将 以 下 项 设置 为 一 
个 非 0 的 值 。 

HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnServer 

注意 

早期 的 IIS 版 本 支持 客户 端 发 起 的 重新 协商 , 但 从 IIS6 及 之 后 的 版 本 就 不 允许 了 。 严格 
来 讲 ， 如 果 你 的 服务 器 从 不 发 起 重新 协商 〈 如 果 你 没有 使 用 客户 端 证 书 验证 )， 重新 
协商 的 安全 漏洞 就 不 会 被 真正 利用 。 尽 管 如 此 ,我 仍然 建议 另外 再 明确 禁用 一 下 重新 
协商 功能 ， 因为 其 他 程序 仍然 有 可 能 受到 漏洞 影响 。 例如，Microsoft 的 Forefrontthreat 
management gateway (TMG ) 就 允许 客户 端 发 起 的 重新 协商 。 


从 男 一 方面 讲 ,如 果 你 需要 启用 服务 器 发 起 的 重新 协商 , 那么 唯一 可 选择 的 是 切换 到 严格 重 
新 协商 ( strictrenegotiation )。 en 你 的 服务 器 将 只 接受 客户 端 发 起 的 安全 重新 协商 请 
求 ， 在 安全 性 上 是 有 保障 的 ， 但 是 有 可 能 导致 未 修复 漏洞 的 浏览 器 请 求 被 拒绝 。 

要 启用 严格 重新 协商 ， Se 


HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ © 
AllowInsecureRenego Clients 


在 我 的 测试 中 ， 这 个 配置 更 改 会 立即 生效 ， 无 需 重新 启动 应 用 程序 。 

最 后 一 个 需要 你 作出 判断 的 是 ， 对 于 你 自己 的 客户 端 人 是 否 人 允许 它 连接 到 那 
些 不 支持 安全 重新 协商 的 服务 器 。 默 认 情 况 下 是 允许 的 , 但 是 这 会 有 风险 ， 因为 服务 器 有 可 能 已 
被 入侵 。 如 果 要 确保 安全 , 在 客户 端 中 启用 强制 安全 重新 协商 ， 代 价 与 服务 器 类 似 ， 你 将 无 法 连 
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接 到 相当 一 部 分 网 站 上 。 根据 SSL Pulse 在 2014 年 7 月 的 报告 , 大 约 有 11.6% 的 服务 器 还 不 支持 安全 
重新 协商 。 
如 果 你 决定 将 客户 端 切换 到 严格 重新 协商 模式 ， 请 将 以 下 项 设置 为 0。 


HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ © 
AllowInsecureRenego Servers 


注意 
KB 977377 的 过 渡 方 案 也 适用 于 客户 端的 重新 协商 禁用 ， 但 在 安全 性 上 这 并 无 改进 ， 
不 安全 的 重新 协商 漏洞 利用 的 是 欺骗 服务 器 接受 错误 的 重新 协商 请 求 ， 不 影响 客户 


端 。 








15.3.5 配置 会 话 缓存 


SSL 和 TLS 人 允许 使 用 会 话 缓存 来 避免 每 次 连接 时 重复 执行 最 消耗 资源 的 加 解密 操作 ， 对 此 
Schannel 会 在 服务 器 内 存 中 维护 一 份 会 话 信息 缓存 。 注 意 在 不 同 平 台 上 有 不 同 的 默认 设置 ， 因 此 
你 最 好 在 所 有 服务 器 上 都 做 好 明确 的 配置 。” 

所 有 会 话 缓存 的 参数 都 位 于 Schannel 的 主 注册 表 项 下 : 

HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel 

口 需要 配置 服务 器 会 话 缓存 的 保留 时 间 ， 请 将 ServerCacheTime 设 置 为 你 需要 的 时 间 ， 单 位 
是 毫秒 。 

口 一 般 情 况 下 无 需 为 客户 端 应 用 设置 会 话 缓存 时 间 ， 如 果 确 有 需要 ， 请 设置 Client- 

CacheTime， 单 位 也 是 毫秒 。 
口 需要 配置 可 保存 的 会 话 数量 上 限时 ， 创 建 或 修改 MaximumCacheSsize 参 数 的 值 。 如 设置 为 0 
则 表示 禁用 会 话 缓存 。 

按 一 般 规律 来 计 ， 你 应 该 为 会 话 缓存 分 配 尽量 多 的 内 存 ， 理 想 情况 下 ,所 有 会 话 都 可 以 缓存 
在 内 存 中 直到 过 期 ( 而 不 会 因为 内 存 不 足 被 清理 )。 每 个 会 话 需 要 占用 2~4 KB 的 内 存 ， 因 此 想 要 
得 到 最 大 会 话 缓存 数量 ， 可 以 用 你 规划 的 内 存 空间 除 以 4KB 来 计算 。 

然而 这 种 方法 有 一 个 问题 ，Schannel 的 会 话 缓存 实现 方式 会 导致 内 存 使 用 超出 预计 的 上 限 。 
其 原因 在 于 新 的 会 话 缓存 是 实时 生成 的 , 而 过 期 的 会 话 则 是 定期 清理 的 ( 以 ServerCacheTime 设 置 
的 时 间 为 间隔 )， 无 论 内 存 是 否 已 达到 使 用 上 限 。 在 正常 的 流量 下 ， 即 使 有 高 峰 期 ， 这 种 工作 方 
式 一 般 也 没 问 题 , 但 是 这 确实 带 来 了 一 个 新 的 DoS 攻 击 点 。 例如， 攻击 者 可 以 每 秒 不 断 地 创建 大 
量 SSL 会 话 ， 这 些 会 话 在 一 段 时 间 内 全 部 都 会 保存 在 内 存 中 ( 每 个 消耗 4 KB )， 直 到 缓存 被 修剪 。 

通常 我 会 建议 将 会 话 缓存 保留 时 间 设 为 24 小 时 ， 但 是 考虑 到 Schannel 的 上 述 缓存 机 制 ， 有 理 
由 使 用 一 个 短 得 多 的 时 间 ， 比 如 1 小 时 ， 并 考虑 为 缓存 分 配 更 多 的 内 存 作为 缓冲 。 
























































































































































Q@ 如 何 配 置 安全 套 接 字 层 服务 器 和 客户 端 缓存 元 素 ，https://technet.microsoft.com/library/security/2868725 ( Microsoft 
技术 支持 网 站 ，2008 年 7 月 7 日 )。 
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注意 
从 Windows 8.1 开 始 ，Schannel 支 持 服务 器 的 人 (session ticket )， 这 是 一 种 无 状 
态 的 会 话 恢复 机 制 。 然 而 , 直到 本 书写 作 期 间 , 这 一 特性 还 没有 正式 公开 ,PowerShell 


的 文档 中 有 一 些 相关 的 信息 。" 
15.3.6 ”监控 会 话 缓存 


Schannel 中 开放 了 数 个 性 能 计数 器 用 于 监控 会 话 缓存 情况 和 会 话 恢复 成 功率 。 在 那些 老 的 平 
台 上 , 恢复 率 只 受 服 务 器 会 话 缓存 影响 。 此 外 会 话 票证 对 提高 恢复 率 应 该 有 良好 的 效果 , 假如 平 
台 支 持 这 一 特性 的 话 。 

相关 的 性 能 计数 器 ( 详 见 表 15-5 ) 都 位 于 Security System-Wide Statistics 类 别 下 ， 你 可 以 用 性 
能 监控 工具 来 查看 〈 在 命令 行 上 运行 perfmon )。 


表 15-5 SChannel 性 能 计数 器 











性 能 计数 器 描 述 
Schannel 会 话 缓存 活跃 数量 (Active ”此 计数 器 用 于 记录 Schannel 会 话 缓存 中 存储 的 所 有 有 效 SSL 会 话 数量 。 
Schannel Session Cache Entries) Schannel 会 话 缓存 中 记录 了 已 成 功 建立 连接 的 会 话 信 息 ,， 例 如 SSL 会 话 ID。 客 








户 端 可 以 用 这 些 信息 重新 链接 到 服务 器 而 无 需 重复 执行 完整 的 SSL 提 手 

Schannel 会 话 缓存 总 数量 (Schannel 此 计数 器 用 于 记录 Schannel 会 话 缓存 中 存储 的 所 有 SSL 会 话 数 量 。Schannel 会 
Session Cache Entries ) 话 缓存 中 记录 了 已 成 功 建立 连接 的 会 话 信息 ， 例 如 SSL 会 话 ID。 客 户 端 可 以 
用 这 些 信 息 重 新 链接 到 服务 器 而 无 需 重复 执行 完整 的 SSL 担 手 
























































SSL 客 户 端 完整 担 手 (SSL Client-Side ”此 计数 器 用 于 记录 客户 端 每 秒 中 执行 的 SSL 完 整 握手 数量 。 握 手 过 程 指 的 是 
Full Handshakes) 计算 机 或 其 他 设备 之 间 的 通过 数据 交换 来 确认 通信 是否 可 以 建立 

SSL 客 户 端 重 连 握手 (SSL Client-Side ”此 计数 器 用 于 记录 客户 端 每 秒 中 执行 的 SSL 重 连 握 手数 量 。 重 连 握 手 允 许 恢 
Reconnect Handshakes) 复 已 建立 的 SSL 会 话 ， 与 完整 握手 相 比 ， 资 源 消 耗 很 少 

SSL 服 务 器 完整 握手 (SSL Server-Side ”此 计数 器 用 于 记录 服务 器 每 秒 中 执行 的 SSL 完 整 握手 数量 。 握 手 过 程 指 的 是 
Full Handshakes) 计算 机 或 其 他 设备 之 间 的 通过 数据 交换 来 确认 通信 是否 可 以 建立 

SSL 服 务 器 重 连 握手 (SSL Server-Side ”此 计数 器 用 于 记录 服务 器 每 秒 中 执行 的 SSL 重 连 握手 数量 。 重 连 握手 允许 恢 
Reconnect Handshakes) 复 已 建立 的 SSL 会 话 ， 和 完整 握手 相 比 资源 消耗 很 少 











15.3.7 FIPS 140-2 

















联邦 信息 处 理 标准 (federal information processing standard，FIPS ) 是 由 美国 国家 技术 研究 院 
(National Institute of Standards and Technology，NIST ) 开发 的 一 组 标准 ， 用 于 非 军 事 用 途 的 政府 
系统 。 其 中 包括 了 各 种 各 样 的 标准 ， 并非 全 部 都 与 安全 性 相关 ， 而 与 安全 性 有 关 的 标准 中 ，FIPS 
140-2 是 我 们 最 感 兴趣 的 ， 因 为 它 确定 了 加 密 技 术 的 使 用 指南 。 为 简单 起 见 ， 后 文中 我 会 把 FIPS 
140-2 简 称 为 FIPS 。 

为 美国 政府 设计 的 系统 都 需要 遵循 FIPS 标 准 。 通 常 来 讲 ， 要 确保 符合 标准 相当 复杂 : 首先 ， 















































QD Transport Layer Security Cmdlets in Windows PowerShell , https://technet.microsoft.com/library/security/2868725 
( Microsoft TechNet，2013 年 10 月 17 日 )。 
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你 需要 确保 系统 运行 的 全 部 是 合法 的 加 密 组 件 ; 其 次 , 对 于 所 有 部 署 的 应 用 都 需要 确保 符合 加 密 
标准 。 
Microsoft 使 这 个 过 程 变 得 相对 简单 ， 因 为 它 维护 了 核心 库 和 组 件 的 标准 兼容 性 ， 因 此 最 难 的 
就 变 成 了 要 确保 第 三 方程 序 以 及 自己 开发 的 程序 都 符合 加 密 标准 。 
在 所 有 Windows 平 台 上 ，FIPS 的 有 效 实施 可 以 分 为 以 下 五 个 层面 。 
口 底层 库 
Microsoft 一 直 积 极地 为 两 个 核心 加 密 库 维护 着 FIPS 140 认 证 : 加 密 API( cryptographic API， 
CAPI ) 以 及 下 一 代 加 密 API ( cryptographic API: next generation，CNG )。 这 两 个 底层 库 本 
身 并 不 关心 FIPS， 它 们 同时 提供 已 审批 的 和 未 审批 的 加 密 算法 ， 保 障 系统 遵循 标准 是 上 
层 系统 的 职责 。 
口 FIPS 注 册 表 项 
有 一 个 注册 表 项 用 来 标示 当前 系统 是 否 需要 符合 FIPS 标 准 ， 所 有 在 系统 上 部 署 的 应 用 都 
需要 根据 这 个 参数 来 决定 自身 的 行为 是 否 需 要 符合 标准 。 
口 上 层 库 
关心 FIPS 的 上 层 加 密 库 ， 需 要 根据 FIPS 注 册 表 项 的 参数 来 调整 自己 的 行为 。 这 里 特别 强 
调 一 下 ，Schannel 和 Microsoft 的 .NET 框 架 完 全 遵循 这 一 FIPS 参 数 。 
口 操作 系统 组 件 
核心 操作 系统 组 件 都 宣称 依赖 和 支持 FIPS， 这 使 得 FIPS 部 署 简单 了 许多 。 例 如 ， 远程 桌 
面 协议 (remote desktop protocol，RDP )、 文 件 加 密 系 统 (EFS，BitLocker ) 以 及 IPSec 都 
是 FIPS 兼 容 的 。 
口 应 用 
应 用 是 加 密 算法 的 实际 消费 者 ， 因 此 在 FIPS 兼 容 性 上 具有 最 终 的 责任 。 基 于 底层 库 的 应 
用 (CAPI 和 CNG )， 需 要 做 一 些 人 额外 的 工作 来 确保 底层 库 的 使 用 符合 标准 。 而 男 一 方面 ， 
只 依赖 上 层 库 的 应 用 默认 就 是 标准 兼容 的 。 


配置 FIPS 

启用 FIPS 最 简单 的 方法 是 使 用 本 地 安全 策略 管理 控制 台 。 

(1) 从 命令 提示 符 或 者 “运行 ”菜单 中 ， 调 用 secpol.msc。 

(2) 在 左 窗 格 中 ， 依 次 选择 :“ 本 地 策略 ”一 “安全 选项 ”。 

(3) 在 右 窗 格 中 ， 找 到 并 双击 “系统 加 密 : 将 FIPS 兼 容 算法 用 于 加 密 、 散 列 和 签名 ”项 。 
(4) 在 弹出 的 属性 窗口 中 ， 选 择 “ 已 启用 ”或 “已 禁用 ”， 然 后 按 “ 应 用 ”( 如 图 15-1 所 示 )。 
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入 吉本 地 安全 策略 
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> 国 高 级 安全 Windows 防火 培 
国 网 络 列表 管理 器 策 略 

> 国 公 角 策略 

>》 国 软件 限制 策略 

>》 国 应 用 程序 控制 策略 

! 










、 轴 IP 安全 第 略 在 本 地 计算 机 
、 国 高 级 案 核 策略 配置 


















文件 (有 ”操作 (A) ”查看 M) 帮助 (H) 

旬 外 | 六 国 XX 日 忆 | 日 闻 

到 安全 设置 策略 

?区 帐 疡 策略 贺 网 络 访问 : 可 匿名 访问 的 共享 i 

“加 本 地 第 咯 加 网络 访问 , 可 匿名 访问 的 命名 管 对 统 加 密 : 将 FIPS 莱 容 算法 用 于 加 密 、 哈 项 和 签名 屋 性 
5 国 网 络 访问 : 可 远程 访问 的 注册 表 引 | | 本 地 安全 设置 | 说 明 
> 区 用 户 权限 分 本 国 网 络 访问 : 可 远程 访问 的 注册 雪 
> 区 安全 这 页 


国 网 络 访问 : 限制 对 命名 管道 和 共 : 
司 ] 网 络 访问 : 允许 匿名 SID/ 名 称 畦 
加 系统 对 急 : 非 Windows 子 系 多 
辐 系统 对 象 : 加 强 内 部 系统 对 银 的 
国 系统 加 密 : 将 FIPS 兼容 算法 用 了 
国 系统 加 密 : 为 计算 机 上 存储 的 用 月 
同系 统 设置 ; 将 Windows 可 执行 
加 系统 设置 : 可 选 子 系统 
闻 以 安全 描述 符 定义 语言 (SDDLD) 户 
加 用 户 帐户 控制 : 标准 用 户 的 提升 拉 
加 用 户 帐户 控制 : 管理 员 批准 模式 
加 用 户 帐户 控制 : 检测 应 用 程 
用 户 帐户 控制 : 将 文件 和 注册 表 
罗 用 户 帐户 控制 : 仅 提 升 安装 在 安 
虽 用 户 帐户 控制 : 提示 提升 时 切换 引 
EN 国 用 户 帐户 控制: ， 以 管理 员 批 准 模 
加 用户 帐户 控制 : 用 于 内 置 管理 员 
加 用 户 帐户 控制 : 允许 UIAccess 月 


Er Fe Wr dn 














| 系统 加 密 : 将 FIPS 兼容 算法 用 于 加 密 、 哈 希 和 签名 


回 已 启用 玫 ) 
回 已 禁用 (5) 


























医生 =] 取消] | 六 














如 果 你 喜欢 直接 操作 注册 表 ， 











图 15-1 











使 用 本 地 安全 策略 管理 


你 需要 将 FIPS 注 册 表 项 的 值 设 置 为 1 ( 启 
FIPS 注 册 表 项 的 位 置 与 操作 系统 有 关 。 在 Windows Vista 和 之 后 的 版 本 中 ， 


E 控 制 台 配置 FIPS 





忆 用 ) 或 者 0 ( 禁用 )。 
该 注册 表 项 位 于 : 


HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmpolicy\Enabled 
在 Windows XP 和 Windows Server 2003 上， 该 注册 表 项 位 于 : 


HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmpolicy 


15.3.8 第 三 方 工具 


也 许 你 了 解 所 有 Schannel 的 注册 表 项 





0 代表 你 每 次 都 想 直接 修改 注册 表 。Nartac 软 





件 公 司 的 HIS Crypto ( 详 见 图 15-2 ) 是 一 个 1S 配置 工 - 具 ， 人 允许 你 配置 密码 套件 的 启用 和 顺序 ， 它 
配备 了 预定 义 的 模板 ， 以 及 一 个 到 SSL Labs 网 站 的 快捷 链接 ， 你 可 以 用 它 来 测试 验证 自己 的 新 


配置 。 
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EE =) 


Protocols Enabled Ciphers Enabled Hashes Enabled 
同 Mukti-Protocol Unified Hello 同 NULL 同 MD5 

同 PCT10 同 DES 56/56 同 SHA 

加 SSL20 同 RC2 40/128 

同 SSL3.0 辐 RC2 56/128 

回 TLS10 可 RC2 128/128 

同 TLS 1.1 辐 RC4 40/128 

加 TLS 12 RC4 56/128 

辐 RC4 64/128 

同 RC4 128/128 

同 Tiple DES 168/168 
同 AES 128/128 

同 AES 256/256 



































SSL Cipher Suite Order Templates 

TE OWT ES | Ockene dpe bereteon tnee a pre erplde Guiehd 

-| Ne psp a button to save your changes. 
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 

加 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 | 

回 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 [Bes pacices |[ Bec! | [EPs1402 ] [ Defauts | 

回 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 

同 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 

回 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 

同 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 














[DI TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 

回 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 

回 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P: 

回 TLS_ECDHE_ECDSA_WITH_AES_256 GCM_SHA384 P: ~ 











加 QuALYS SSL LABS 
Ui | 








NARTAC 


SOFTWARE copyight®2011-2013Nartac Software Inc. 
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图 15-2 ”Nartac 软 件 公 司 的 IIS Crypto 配 置 工 j 





15.4 保护 ASP.NET 网 站 应 用 的 安全 


这 一 节 将 讨论 如 何 安全 部 署 ASPNET 应 用 的 主题 , 包括 应 用 有 哪些 不 安全 的 实现 方式 , 例如 
允许 明文 访问 或 者 使 用 不 安全 的 Cookie。 


15.4.1 强制 使 用 SSL 


为 了 防止 误 配 置 带 来 问题 ,需要 运行 于 TLS 之 下 的 应 用 ， 应 该 对 每 个 请 求 加 上 主动 的 TLS 检 
验 ， 代 码 如 下 : 


if (Request.Url.Scheme.Equals("https") == false) { 
// 错误 ,请 求 未 使 用 SSL 








} 

然而 ， 让 每 个 执行 单元 ( 脚本 ) 都 单独 加 上 SSL 检 查 通常 不 太 可 行 。 一 个 更 好 的 方法 是 只 写 
一 段 代码 然后 在 需要 的 地 方 直接 调用 。ASPNET 文 持 授权 过 滤器 , 用 于 在 每 次 请 求 时 执行 特定 的 
代码 。 这 种 过 滤器 是 TLS 检 查 代 码 实现 的 理想 方式 。 
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15.4.2 Cookie 的 保护 


应 用 程序 使 用 的 每 一 个 Cookie 都 应 该 单独 进行 保护 ， 你 需要 做 的 就 是 将 Secure 属 性 设置 为 
true， 如 果 不 打算 从 JavaScript 访 问 Cookie， 那 么 将 Httponly 属 性 也 设置 为 true。 


// 新 建 一 个 Cookie 并 初始 化 

HttpCookie cookie = new HttpCookie(); 
cookie.Name = "CookieName"; 

cookie.Value = "CookieValue"; 

cookie.Expires = DateTime.Now.AddMinutes(10d); 























和 














// 设置 Cookie 的 安全 属性 
cookie.HttpOnly = true; 
cookie.Secure = true; 





// 将 Cookie 加 入 响应 头 
Response.Cookies.Add(cookie); 


15.4.3 ”保护 会 话 Cookie 和 Forms 身份 验证 的 安全 


ASPNET 配 置 文件 中 的 <httpCookies> 元 素 " 用 于 控制 会 话 Cookie 的 安全 性 ， 例 如 ， 要 设置 会 
话 Cookie 的 httponly 标 志 ( 禁止 JavaScript 访 问 会 话 Cookie ) 和 Secure 标 志 确保 Cookie 只 在 SSL 
时 传送 )， 配 置 如 下 所 示 。 


<configuration> 
《<1-- 其 他 配置 选项 --> 











<system.web> 
<httpCookies 
domain = "www.example.com" 
httponlyCookies = "true" 
requireSSL = "true" 
lockItem = "true" 
/> 
</system.web> 
</configuration> 


lockItem 属 性 的 作用 是 避免 其 他 地 方 的 配置 覆盖 了 这 里 配置 的 值 。 尽 管 如 此 ， 仍 然 有 一 个 问 
题 : 如 果 你 的 配置 还 包括 了 <form> 元 素 ( 换 句 话说 , 就 是 使 用 了 Forms 身 份 验证 ), 需要 确保 <forms> 
的 requreSSL 属 性 也 设置 为 true。 

<forms 
requireSSL = "true" 5 
cookieless = "UseCookies" 


<“!- 其 他 属性 --> 

















/> 





GD httpCookies 元 素 ,，https://msdn.microsoft.com/zh-cn/library/ms228262(v=vs.100).aspx ( .NET Framework 4 documentation ， 
检索 于 2014 年 7 月 3 日 )。 
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你 会 发 现 我 还 将 cookieless 属 性 设置 成 了 UseCookies, Forms 身 份 验证 支持 两 种 方式 来 传输 会 
话 令 牌 : 最 常用 的 是 使 用 Cookie， 但 也 可 以 通过 URI 参 数 的 方式 将 会 话 令 牌 添加 到 页 面 链接 中 。 
基于 URI 的 方法 很 有 意思 ， 即 使 应 用 程序 不 支持 Cookie 也 能 工作 ， 然 而 它 也 会 带 来 明显 的 安全 问 
题 : 浏览 器 在 通过 链接 跳 转 时 会 将 当前 URI 添 加 到 Refer 请 求 头 中 , 因此 会 将 会 话 令 牌 暴露 给 其 他 
网 站 ; 如 果 攻 击 者 成 功 引 导 用 户 进 入 一 个 攻击 者 控制 的 网 站 ， 他 就 可 以 劫持 用 户 的 会 话 。 


15.4.4 ”部署 HTTP 严格 传输 安全 


HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS ) 是 一 个 较 新 的 标准 ， 人 允许 Web 服 
务 程序 要 求 浏览 器 只 使 用 安全 的 访问 方式 。 这 一 事实 也 使 HSTS 成 为 了 一 个 底层 防御 机 制 ， 即 使 
应 用 程序 的 设计 有 误 ( 例如 使 用 了 不 安全 的 会 话 Cookie )， 也 能 起 到 保护 作用 。 另 外 ， 无 效 证 书 
的 处 理 得 到 了 加 强 ， 用 户 再 也 无 法 跳 过 浏览 器 的 安全 警告 而 继续 访问 。 部 署 HSTS 很 简单 ， 但 在 
此 之 前 你 需要 充分 了 解 它 的 优 缺 点 。 

以 下 代码 样 例 启 用 了 HSTS 并 将 有 效 期 设置 为 大 约 一 年 ( 以 秒 为 单位 ), 对 于 主 域名 和 所 有 子 
域名 同时 生效 : 

Response.AppendHeader( 


"Strict-Transport-Security", 
"max-age=31536000; includeSubDomains; preload" 










































































六 
你 也 可 以 直接 在 配置 文件 中 添加 HTTP 响 应 头 ， 配 置 如 下 : 


<configuration> 
《1 一 其 他 配置 选项 --> 








<system.webServer> 
<httpProtocol> 

<customHeaders> 

<add name="Strict-Transport-Security" 
value="max-age=31536000; includeSubDomains; preload" /> 

</customHeaders> 
</httpProtocol> 
</system.webServer> 

</configuration> 


IS 的 管理 界面 上 也 支持 自 定 义 响 应 头 的 设置 。 然 而 使 用 以 上 任意 方法 时 都 有 一 个 问题 ， 即 
HSTS 规 范 不 允许 在 明文 响应 中 返回 Strict-Transport-Security 响 应 头 。 因 此 最 简单 和 最 干净 的 
方案 是 使 用 第 三 方 模块 ， 将 具体 细节 全 部 交 由 模块 处 理 。” 
































15.5 ”Internet 信息 服务 


Internet 信 息 服务 ( internet information services ，IIS ) 是 Windows 操 作 系 统 上 最 主要 的 Web 服 








QD HTTP Strict Transport Security IIS Module ,http://hstsiis.codeplex.com/( CodePlex， 检 索 于 2014 年 7 月 2 日 )。 
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务 器 ， 它 有 多 种 发 行 版 本 ( 例如 桌面 版 和 服务 器 版 )， 但 底层 代码 基本 一 致 ， 并 且 所 有 版 本 在 
SSL/TLS 特 性 上 最 终 都 依赖 Schannel。 
因为 Schannel 是 一 个 相当 成 熟 的 TLS 库 ，IIS 也 自然 对 TLS 有 了 良好 的 支持 。 实 践 应 用 中 最 大 
的 问题 在 于 HS 没有 用 于 TLS 配 置 的 用 户 界 面 ， 而 完全 依赖 Schannel 的 配置 ，Schannel 反 过 来 又 只 
能 通过 直接 操作 注册 表 来 配置 ， 这 就 带 来 了 不 少 困 难 。 
在 这 一 节 的 剩余 部 分 ， 我 将 重点 讨论 在 IS 上 运行 安全 网 站 的 一 些 问题 。 
口 前 向 保密 
HS 支持 使 用 ECDHE 密 钥 交 换 的 前 向 保密 ,适用 于 大 多 数 客户 端 ,由 于 Schannel 不 支持 DHE 
和 RSA 组 合 的 密码 套件 ， 就 无 法 给 哪些 不 支持 椭圆 曲线 算法 的 老 客户 端 提 供 DHE 密 钥 交 
换 方式 , 而 这 对 你 的 系统 的 影响 程度 , 完全 取决 于 你 的 用 户 群 。 例 如 Twitter 曾 经 报道 说 大 
约 有 25% 的 用 户 不 支持 ECDHE。? 
2014 年 4 月 , Microsoft 在 Windows 8.1 和 Server 2012 R2 上 发 布 了 一 个 更 新 包 , 增加 了 2 个 新 的 
DHE_RSA 套 件 〈 使 用 1024 位 DH 参数 ) 支持 ， 然 而 这 两 个 套件 在 改善 老 客户 端 前 向 保密 的 支 
持 上 于 事 无 补 ， 因 为 它们 只 支持 GMC 验 证 加 密 ， 而 这 个 老 客 户 端 通常 也 不 支持 。2015 年 5 
月 ，Windows 7 和 Windows Server 2008 R2 的 系列 版 本 中 也 加 入 了 对 这 两 个 套件 的 支持 。” 
此 外 ， 新 增加 的 套件 仍然 在 使 用 1024 位 DH 密 钥 交换 参数 ， 现 在 的 安全 性 已 经 较 弱 ， 也 没有 
其 他 办 法 来 配置 IIS 以 支持 更 强 的 DH 参数 。 要 了 解 有 关 DH 安 全 状态 的 更 多 信息 , 参阅 6.5 节 。 
口 GCM 套 件 
在 本 书写 作 时 ，GCM 套 件 被 认为 是 唯一 完全 安全 的 套件 。 即 使 其 他 套件 的 问题 基本 上 都 得 
到 了 解决 ， 假 如 你 特别 热衷 于 实现 最 佳 的 安全 性 ，GCM 套 件 就 是 你 的 最 优选 择 。Schannel 
确实 支持 GCM 套 件 ， 但 通常 都 是 与 ECDSA 密 钥 绑 定 。ECDSA 密 钥 的 问题 在 于 不 是 所 有 客 
户 端 都 能 支持 。 例 如 ， 直 到 2015 年 7 月 ， 大 约 有 6% 的 维基 百科 用 户 还 不 支持 ECDSA 密 铀 。” 
口 OCSP stapling 
从 Windows 2008 开 始 ，IIS 已 经 默认 启用 OCSP stapling。 由 于 大 部 分 其 他 Web 服 务 器 在 这 
方面 都 需要 手动 配置 , 导致 互联 网 上 绝 大 多 数 的 stapling 响 应 都 来 自 IS 服 务 "。 唯 一 的 缺点 
是 HS 服务 器 必须 能 与 签发 证 书 的 CA 通信 来 获取 OCSP 响 应 和 本 地 缓存 。 如 果 系 统 环境 在 
出 口 流量 上 有 严格 的 控制 ( 防火墙 )， 这 种 请 求 就 有 可 能 被 阻止 。 要 解决 这 个 问题 ， 你 可 
以 放宽 防火 墙 的 策略 或 者 对 OCSP 请 求 配置 一 个 转发 代理 。® 















































































































































QD Forward Secrecy at Twitter, https://blog.twitter.com/2013/forward-secrecy-at-twitter ( Twitter’s Engineering Blog, 2013 











年 11 月 22 日 )。 

@ 默认 密码 套件 优先 级 顺序 更 新 ， https://technet.microsoft.com/zh-cn/library/security/3042058.aspx ( Microsoft Security 15 
Advisory 3042058，2015 年 5 月 12 日 )。 

() Switch to ECDSA hybrid certificates, https://phabricator.wikimedia.org/T86654#1405484 ( Brandon Black, 2015 年 6 月 
26 日 )。 

由 Microsoft Achieves World Domination (in OCSP Stapling) http://news.netcraft.com/archives/2013/07/19/microsoft- 
achieves-world-domination-in-ocsp-stapling.html ( Netcraft 博 客 ，2013 年 7 月 19 日 )。 

(© OCSP Stapling in IS ，http:Wunmitigatedrisk.com/?p=95 ( Ryan Hurst 博 客 ，2012 年 6 月 12 日 )。 
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口 缺少 站 点 维度 的 配置 
IS 只 有 少数 站 点 维度 的 SSL/TLS 配 置 ， 也 就 是 说 ， 对 于 大 部 分 配置 (例如 协议 支持 、 密 
码 套 件 顺序 ) 来 说 ， 你 需要 找到 一 个 符合 所 有 站 点 的 配置 。 通 常 这 也 不 会 成 为 一 个 问题 ， 
但 确实 会 带 来 约束 ， 尤 其 是 在 某 些 站 点 有 特殊 需求 时 (例如 FIPS )。 


密 钥 和 证 书 的 管理 


IIS 管 理 器 的 界面 提供 了 基本 的 密 钥 和 证 书 管理 功能 ， 虽 然 并 不 直观 ,但 还 是 能 用 。 以 下 我 
的 说 明和 样 例 都 是 基于 Windows Server 2012 和 IIS 8, 但 流程 与 更 早 (IIS7 和 7.5 ) 和 更 新 (IIS 8.5 ) 
的 版 本 应 该 基本 相同 。 


注意 
IIS 用 户 界面 中 的 用 词 并 不 十 分 准确 。 大 部 分 标签 和 操作 的 名 称 都 涉及 证 书 ， 而 你 几 
乎 总 是 会 同时 管理 密 钥 和 证 书 。 为 简单 起 见 ， 这 一 节 中 我 将 使 用 IIS 的 术语 。 















































1. 创建 自 定义 lIS 管 理 控 制 台 

在 开始 实际 的 证 书 配置 工作 前 ， 我 建议 你 创建 一 个 自 定 义 Microsoft 管 理 控 制 台 ( Microsoft 
management console, MMC )。 

(1) 在 “运行 ”菜单 中 ,键入 mmc 来 创建 一 个 空 的 控制 台 。 

(2) 从 “文件 ”菜单 中 ， 选 择 “ 添 加 /删除 管理 单元 ”， 会 出 现 一 个 新 窗口 ， 左 窗 格 是 一 个 可 
用 的 管理 单元 列表 。 

(3) 添加 “证 书 ” 管 理 单元 ， 在 第 一 个 窗口 中 ， 选择“ 计算 机 账户 ”， 在 第 二 个 窗口 中 ， 选 择 
“本 地 计算 机 ”。 

(4) 添加 “Internet 信 息 服务 ”管理 单元 。 

(5) 从 “文件 ”菜单 中 ,选择 “保存 ”来 保存 当前 控制 台 供 之 后 使 用 ， 如 果 你 把 它 保存 到 桌 
面 ， 每 次 使 用 的 时 候 上 只 需要 双击 打开 。 

现在 你 就 有 了 一 个 自 定义 控制 台 ， 可 以 用 来 管理 网 站 证 书 ， 也 可 以 用 作 IIS 管 理 界面 。 

2. IIS 证 书 管理 

要 使 用 HS 证 书 管理 ， 打 开 IS 管 理 控制 台 并 单 击 服务 器 名 称 ， 会 出 现 一 个 有 许多 配置 选项 的 
窗 格 ， 其 中 一 个 配置 选项 是 “服务 器 证 书 ”( 如 图 15-3 所 示 )。 

3. 创建 自 签名 证 书 

创建 自 签名 证 书 很 简单 :在 右 窗 格 中 选择 “创建 自 签名 证 书 …… ”， 并 为 其 指定 一 个 友好 名 
称 。 你 还 可 以 选择 证 书 存储 的 方式 ， 可 以 放 在 个 人 证 书库 中 或 者 放 到 网 站 证 书库 中 ,我 现在 还 不 
清楚 这 两 种 方式 有 什么 区 别 ， 我 倾 问 于 选择 后 者 。 

4. 导入 证 书 

如 果 你 已 经 有 了 一 个 证 书 , 可 以 使 用 “导入 ”操作 将 证 书 导 入 到 服务 器 ,但 唯一 支持 的 格式 
是 PKCS#12 或 PFX。 如 果 你 需要 从 使 用 了 不 同 证 书 格式 的 Web 服 务 器 迁移 ， 可 以 用 OpenSSL 对 密 
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钥 和 证 书 格式 做 转换 ， 相 关内 容 在 11.2.8 节 中 有 详细 介绍 。 
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图 15-3 JIS 管理 控制 台中 的 服务 器 证 书 

警告 

当 你 导入 证 书 时 ， 最 好 禁用 “允许 导出 此 证 书 ” 选 项 ， 这 样 可 以 大 大 提高 服务 器 密 铀 
非法 提取 的 难度 。 当 然 ， 如果 禁 用 了 这 个 选项 ,请 务必 在 其 他 地 方 保 留 一 份 密 钥 和 证 
书 的 备份 。 


5. 从 公共 CA 申请 证 书 

要 从 公共 CA 申请 证 书 ， 首 先 需要 创建 一 个 证 书签 名 申请 〈 certificate signing request，CSR )。 5 
选择 “创建 证 书 申请 ”操作 ， 会 弹出 一 个 包含 以 下 三 个 步骤 的 操作 向 导 。 

(1) 在 第 一 个 页 面 中 输入 你 的 信息 ， 确 保 关 于 你 组 织 的 信息 是 准确 的 ， 其 中 的 “公用 名 ” 字 
段 应 该 使 用 你 网 站 的 主 域名 。 

(2) 在 第 二 个 页 面 中 选择 密 钥 的 类 型 和 强度 。 对 于 类 型 ， 默 认 值 ( Microsoft RSA SChannel 
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Cryptographic Provider ) 是 目前 唯一 可 行 的 选择 ， 不 需要 更 改 。 对 于 强度 ， 选 择 2048 位 〈 我 这 里 
默认 值 是 1024 位 ， 强 度 较 弱 且 不 安全 )。 
(3) 在 第 三 个 页 面 中 选择 CSR 文 件 的 存储 位 置 。 
现在 你 有 了 自己 的 CSR， 接 着 就 是 要 把 它 提交 给 所 选择 的 CA。 大 多 数 情 况 下 ， 你 可 以 用 文 
本 编辑 器 打开 CSR 文 件 ， 将 内 容 复制 粘贴 到 CA 网 站 的 表单 中 。 当 CA 对 你 请 求 的 域名 进行 所 有 权 
确认 后 (对 于 DV 域 验 证 证 书 来 说 ,通常 过 程 是 自动 的 且 时 间 很 短 ; 对 于 EV 扩展 验证 证 书 来 说 ， 
过 程 会 很 长 )， 就 会 签发 你 的 证 书 。 
警告 
在 生成 CSR 文 件 时 ， 你 也 同时 在 此 计算 机 上 创建 了 唯一 的 私 钥 。 由 于 证 书 和 私 钥 不 
匹配 时 是 不 能 工作 的 ， 因 此 你 应 该 确保 对 两 者 都 做 好 安全 的 备份 。 最 好 的 方法 是 在 
你 需要 部 署 证 书 的 服务 器 上 创建 CSR 和 私 钥 ， 然 后 使 用 “导出 ”功能 导出 后 进行 备 


份 。 


6. 完成 证 书签 名 申请 

处 理 完 CSR 请 求 后 ，CA 通 常会 发 给 你 几 个 证 书 ， 其 中 最 主要 的 一 个 是 站 点 证 书 ， 一 般 还 需 
要 一 个 或 者 多 个 中 间 证 书 ， 某 些 时候 甚 至 需要 根 证 书 。 如 果 CA 把 所 有 证 书 打包 在 一 个 文件 里 发 
送 给 你 ， 你 可 以 直接 导 和 使用， 如 果 CA 将 多 个 证 书 用 不 同 的 文件 发 送 给 你 ， 你 就 需要 将 它们 一 
个 一 个 地 导入 ， 步 又 如 下 所 示 。 

(1) 如 果 CA 根 证 书 不 在 你 的 主 可 信 证 书库 ( 称 为 可 信 根 证 书 颁发 机 构 , trusted root certification 
authority ) 中 ， 导 入 根 证 书 。 

(2) 将 所 有 中 间 证 书 导 入 到 “中 级 证 书 颁 发 机 构 ” 证 书库 中 。 

现在 , 你 可 以 使 用 “完成 证 书 申请 ”操作 来 导入 站 点 证 书 并 匹配 计算 机 上 的 对 应 私 钥 。 如 果 
已 经 正确 配置 了 CA 的 根 证 书 和 中 间 证 书 ， 操 作成 功 不 会 有 任何 警告 ， 否 则 IIS 会 提示 无 法 创建 完 
整 的 可 信 证 书 链 。 


注意 

EE 

完成 CSR 的 操作 有 时 会 提示 失败 ， 错 误 消息 是 “无 法 删除 证 书 或 访问 被 拒绝 ”。 我 也 
遇 到 了 这 个 问题 , 但 是 最 终 发 现实 际 过 程 已 经 成 功 完成 , 尽管 有 错误 提示 但 证 书 可 以 
正常 使 用 。 



















































































7. 配置 SSL 站 点 
假设 你 已 经 有 了 证 书 ， 要 对 一 个 网 站 启用 TLS ， 这 时 你 需要 对 网 站 添加 SSL 绑 定 (SSL 
binding )， 从 配置 方面 来 讲 有 以 下 几 个 方面 的 内 容 。 
口 协议 : 永远 使 用 https 
口 IP 地 址 和 端口 
口 域名 
口 “ 需 要 服务 器 名 称 指示 ”选项 的 正确 配置 (后 面 有 更 详细 的 说 明 ) 
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口 需要 的 SSL 证 书 
你 可 以 有 三 种 方式 来 配置 一 个 安全 的 网 站 。 
口 基于 IP 加 端口 组 合 的 独立 SSL 站 点 
传统 意义 上 , 每 个 安全 网 站 需要 部 署 唯 一 的 IP 加 端口 组 合 , 但 实际 上 为 公共 服务 使 用 特殊 
端口 并 不 可 行 , 这 个 方案 相当 于 为 每 个 站 点 配置 独立 的 IP 地 址 。 对 于 小 规模 托管 服务 来 讲 
这 个 方案 简单 直接 ,但 它 需 要 你 购买 足够 数量 的 IP 地 址 。 
口 证 书 共 享 
尽管 虚拟 安全 托管 还 不 实用 , 但 还 是 有 办 法 在 相同 IP 地 址 上 为 多 个 站 点 提供 服务 , 只 要 你 
不 介意 让 它们 都 使 用 相同 的 证 书 。 你 可 以 申请 一 个 证 书包 含 所 有 站 点 域名 ， 或 者 申请 一 
个 泛 域名 证 书 用 于 支持 所 有 匹配 的 子 域名 (或 者 同时 使 用 这 两 种 方式 )。IIS 8 全 面 支持 这 
个 特性 ， 为 一 个 站 点 配置 SSL 绑 定时 ， 选择 好 所 需 的 IP 地 址 和 证 书 并 输入 正确 的 域名 ,对 
于 不 同 网 站 不 断 重复 这 一 过 程 ， 在 此 过 程 中 SNI 选 项 要 保持 禁用 。 
IIS 8 之 前 , 在 管理 界面 上 只 允许 在 一 个 IP 地 址 加 端口 的 组 合 上 配置 一 个 站 点 。 但 仍然 有 可 
能 通过 命令 行 直 接 修改 配置 来 达到 相同 的 效果 ， 此 外 证 书 的 友好 名 称 中 第 一 个 字符 必须 
使 用 星 号 (*) 
口 虚拟 安全 托管 
在 TLS 协 议 最 初 阶段 没有 考虑 对 虚拟 安全 托管 的 支持 , 一 些 老 的 平台 迄今 仍然 不 支持 这 一 
特性 ， 但 其 中 的 Windows XP 仍然 相当 流行 ， 因 此 我 们 必须 将 安全 站 点 和 IP 地 址 绑 定 。IIS 
在 版 本 8 之 后 支持 虚拟 安全 托管 特性 ， 你 可 以 选中 “需要 服务 器 名 称 指示 ”选项 来 启用 。 
然而 ， 如 果 你 还 有 用 户 在 使 用 Windows XP 上 的 下 浏览 器 ， 那 么 启用 后 这 部 分 用 户 就 无 法 
成 功 连接 到 你 的 网 站 。 如 果 你 没有 这 样 的 老 用 户 ， 那 就 可 以 安全 地 启用 SNI 特 性 。 
8. 高 级 选项 
本 节 中 的 说 明 仅 适 用 于 小 规模 部 署 , 例如 当 你 的 服务 器 只 提供 少数 站 点 服务 时 ,需要 处 理 复 
杂 的 网 站 架构 就 会 变 得 相当 困难 。 如 果 你 的 网 站 属于 这 一 类 ， 可 以 考虑 使 用 以 下 这 些 高 级 选项 。 
口 Web 服 务 器 集群 的 证 书 中 心 化 
从 IIS 8.0 开 始 ，Web 服 务 需 集群 管理 变 得 更 容易 ， 因 为 它 支持 共享 文件 系统 中 的 密 钥 和 证 
书 文件 存储 。” 
口 Active Directory 和 公共 CA 的 集成 
近来 公共 CA 开始 提供 基于 自身 公共 架构 的 模拟 私有 CA 产品 ,通过 这 种 方法 ,许多 工作 ( 例 
如 证 书 更 新 ) 变 得 简单 和 自动 化 。 这 个 集成 方案 的 优点 是 可 以 通过 Active Directory 策 略 来 
控制 证 书 的 签发 ， 而 证 书 最 终 会 链接 到 公共 CA。 5 
































































































































GD SSL Host Headers in IIS 7, https:/www.sslshopper.com/article-ssl-host-headers-in-iis-7.html ( SSL Shopper，2009 年 2 
月 26 日 )。 

© IS 8.0 Centralized SSL Certificate Support: SSL Scalability and Manageability, http://www.iis.net/learn/get-started/whats- 
new-in-iis-8/iis-80-centralized-ssl-certificate-support-ssl-scalability-and-manageability ( IIS.Net，2012 年 2 月 29 日 )。 





配置 Nginx 








Nginx 是 一 个 反 向 代理 Web 服 务 器 ,由 于 在 系统 资源 使 用 上 的 高 效率 而 广 受 欢迎 。Nginx 在 当 
前 稳定 版 本 (1.6.x ) 上 对 TLS 的 支持 良好 , 意味 着 你 不 会 遇 到 TLS 方 面 的 任何 问题 ( 参见 表 16-1 )。 
Nginx 是 一 个 相当 年 轻 的 项 目 ， 功 能 开发 的 节奏 很 快 。 如 果 你 是 一 个 高 级 用 户 ， 建 议 时 刻 关 注 开 
发 分 文 上 的 功能 改进 。 




















表 16-1 Nginx 最 新 版 本 的 TLS 特 性 






































功 能 1.4.x 1.6.x 1.8.x 
默认 DH 参数 强度 默认 1024 位 ， 较 弱 默认 1024 位 ， 较 弱 默认 1024 位 ， 较 弱 
DH/ECDH 参 数 可 配置 是 是 是 
椭圆 曲线 (EC) 算法 支持 是 是 是 
OCSP stapling 是 是 是 
TLS 分 布 式 会 话 缓存 一 一 一 
会 话 票证 配置 一 是 是 
禁用 会 话 票证 S 是 是 
后 端 证 书 验证 = 一 是 




















稳定 版 本 的 Nginx 提 供 了 部 署 一 个 独立 运行 、 配 置 良好 的 TLS 服 务 所 需要 的 一 切 内 容 。 默 认 
的 临时 DH 参 数 ( 1024 位 ) 的 强度 虽然 比较 弱 ， 但 这 个 问题 可 以 通过 配置 解决 。 有 一 点 需要 特别 
注意 的 是 ，Nginx 不 会 对 反 向 代理 的 后 端 做 证 书 验 证 。 当 后 端 服务 咒 在 本 地 时 ( 例如 在 同一 个 网 
络 中 ) 这 没有 任何 问题 ; 但 如 果 后 端 是 一 个 公 网 服务 器 ， 这 就 是 一 个 严重 的 安全 缺陷 。 

本 章 旨 在 涵盖 Nginx TLS 配 置 中 最 重要 和 最 有 趣 的 方面 ， 但 它 不 是 一 个 参考 手册 。 如 需 更 多 
信息 ， 请 参考 官方 文档 。 


16.1 ”以 静态 链接 OpenSSL 方式 安装 Nginx 


默认 情况 下 ，Nginx 在 安装 时 会 自动 检测 系统 的 OpenSSL 库 并 以 动态 链接 方式 使 用 。 然 而 有 
时 候 你 并 不 希望 使 用 系统 库 ， 比 如 系统 库 的 版 本 可 能 较 低 并 且 缺 少 一 些 重 要 特性 。 

实际 上 ,你 可 以 自己 编译 Nginx 并 且 静 态 链接 到 一 个 兼容 的 OpenSSL 版 本 。 方 法 很 简单 : 在 
配置 Nginx 的 编译 选项 时 ， 使 用 - -with-openss1 参 数 来 指向 OpenSSL 的 源 代码 : 
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$ ./configure \ 

-prefix=/opt/nginx \ 
-with-openssl=../openssl-1.0.1h \ 
-with-openssl-opt="enable-ec nistp 64 gcc 128" \ 
-with-http_ssl module 


与 其 他 一 些 程序 不 同 ( 编译 时 指定 的 是 OpenSSL 静 态 库 )，Nginx 需 要 指定 源 代码 以 便 它 可 以 
自行 配置 和 编译 OpenSSL。 在 这 种 方式 下 ， 由 于 Nsginx 的 隔离 ， 你 无 法 直接 配置 OpenSSL 的 编译 
选项 .如 果 需 要 指定 一 个 OpenSSL 编译 参 数 , 可 以 通过 Nginx 的 --with-openssl-opt 人 参数 来 传人 ( 例 
如 在 我 的 例子 中 ， 通 过 此 参数 启用 了 默认 禁用 的 EC 优化 )。 

警告 
使 用 源 代码 编译 时 要 注意 , 与 使 用 操作 系统 提供 的 包 不 同 , 你 需要 承担 起 软件 更 新 的 
责任 。 如 果 发 现 安全 问题 ， 就 需要 及 时 重 编译 并 更 新 部 署 。 
































16.2 启用 TLS 


要 启用 TLS, 你 需要 告诉 Nginx 在 指定 的 端口 上 启用 相应 的 协议 。 这 可 以 通过 在 listen 指 令 后 
加 上 ssl 参 数 来 实现 : 
server { 
listen 192.168.0.1:443 ssl; 
server name www.example.com; 
} 
另 一 个 建议 设置 的 参数 是 spdy， 用 于 启用 SPDY 协 议 "， 要 同时 启用 TLS 和 SPDY 时 ， 你 可 以 
这 样 配置 ; 


server { 
listen 192.168.0.1:443 ssl spdy; 
server name www.example.com; 


} 












































16.3 ”配置 TLS 协议 


当 你 启用 TLS 协 议 时 ， 应 该 详细 指定 协议 配置 。 不 要 相信 和 默认 设置 ， 因 为 它们 随时 可 能 发 生 
变化 ,时间 一 长 ,你 就 不 清楚 服务 器 实际 在 做 什么 了 。Nginx 协 议 配 置 主要 有 3 个 指令 。 第 一 个 是 
ssl_protocols， 用 来 指定 启用 的 协议 版 本 : 


# 启用 所 有 协议 ， 禁 用 已 废弃 的 
# 不 安全 的 SSL 2 和 5SL 3 
ssl protocols TLSv1 TLSv1.1 TLSv1.2; 





























Q@ SPDY 在 默认 编译 选项 中 未 启用 ， 必 须 使 用 --with-http_spdy_module 配 置 参 数 来 启用 。 
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第 二 个 是 ssl_prefer server ciphers, 用 来 告诉 Nginx 在 TLS 握 手 时 启用 服务 絮 算 法 优先 ， 























服务 需 选 择 适 配 算 法 而 不 是 让 客户 端 来 做 : 


# 让 服务 器 选择 要 使 用 的 算法 套件 
ssl prefer server ciphers on; 


最 后 一 个 是 ssl_ciphers ,用 来 指定 使 用 的 算法 套件 以 及 优先 顺序 ,参数 是 OpenSSL 套 件 名 称 ， 
例如 : 


# 这 个 配置 只 启用 了 支持 前 向 保密 的 算法 ， 按 照 性 能 优先 的 顺序 排列 。 

ssl ciphers "ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 © 
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES128-SHA256 © 
ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 © 
ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA ECDHE-RSA-AES128-SHA256 全 
ECDHE-RSA-AES256-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 © 


DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES256-SHA256 人 
EDH-RSA-DES-CBC3-SHA"; 


























注意 
这 个 例子 中 的 密码 套件 配置 是 安全 的 。 根据 实际 偏好 以 及 风险 状况 , 你 的 配置 可 能 会 


略 有 不 同 。 在 第 8 章 中 对 TLS 服 务 器 配置 有 深入 的 讨论 ， 在 11.3.1 节 中 的 “推荐 配置 ” 
部 分 中 有 OpenSSL 的 使 用 样 例 。 


16.4 配置 密 钥 和 证 书 
配置 安全 服务 的 最 后 一 步 是 指定 所 需 的 私 铀 和 证 书 ， 你 需要 以 下 两 个 指令 : 


# 私 钥 
ssl Certificate key server.key; 





# 证 书 : 服务 器 证 书 在 最 前 面 ， 后面 是 所 有 必要 的 中 间 证 书 ， 不 需要 根 证 书 
ssl certificate server.crt; 
Nginx 只 有 一 个 指令 用 于 证 书 配置 。 如 果 你 的 服务 占 证 书 和 中 间 证 书 是 不 同文 件 ， 和 需要 把 它 
们 合并 到 一 个 文件 来 使 用 。 请 确保 把 服务 器 证 书 放 在 最 前 面 ， 否 则 会 得 到 一 个 配置 错误 ;另外 需 
要 确保 所 有 中 间 证 书 的 顺序 也 正确 ， 不 然 可 能 会 导致 一 些 很 难 发 现 的 细小 通信 问题 。” 
注意 
尽管 Nginx 支 持 用 密码 来 保护 私 钥 ， 但 唯一 的 方式 是 在 程序 启动 时 输入 密码 。 因 为 需 
要 交互 ， 所 以 这 一 方案 在 实践 中 无 法 实施 ， 只 能 配置 一 个 没有 密码 的 私 钥 ， 而 这 种 部 
署 不 太 理想 。 好 消息 是 ，1.7.3 版 本 增加 了 一 个 新 指令 ss1 password file, 使 用 这 个 指 
令 可 以 将 私 钥 的 密码 加 入 配置 文件 中 。 









































GD ssl_ certificate 指令 允许 你 将 私 钥 和 证 书 合并 到 同一 个 文件 内 , 但 是 将 私有 和 公有 信息 存储 在 同一 个 文件 内 是 非 
常 危险 的 ， 很 容易 导致 私 钥 的 泄露 。 
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16.5 


配置 多 密 钥 














目前 Nginx 还 不 支持 对 一 个 网 站 配置 多 个 密 钥 ; 但 如 果 你 希望 保持 老 客 户 端 兼容 性 的 同时 又 


能 获得 最 佳 性 能 ， 
的 ECDSA ， 而 对 老 的 客户 端 使 用 寻 





















































多 密 钥 功 能 就 是 必需 的 。 如 果 可 以 部 署 多 密 钥 ， 你 可 以 对 新 的 客户 端 使 用 更 快 
容 的 RSA。Nginx 从 2013 年 11 月 开始 已 经 完成 了 一 部 分 这 方面 





的 工作 , 但 是 在 官方 Nginx 代 码 库 中 还 从 未 正式 支持 "。 最近, 维基 百科 使 用 了 一 个 更 新 版 本 ,其 
中 就 包含 了 一 个 自 有 的 双 证 书 (ECDSA+RSA ) 补丁 。” 


通配符 证 书 和 多 站 点 证 书 


如 果 你 有 两 个 以 上 的 站 点 共用 相同 的 证 书 , 就 可 以 把 它们 部 署 在 同一 个 JP 地址 上 ; 不 过 虚拟 
安全 托管 的 工作 模式 在 现 有 的 情况 下 还 不 可 行 。 这 无 需 特殊 配置 , 只 要 把 所 有 网 站 绑 定 到 相同 的 
IP 地 址 上 并 确保 它们 使 用 了 相同 的 证 书 即 可 。” 

这 种 方式 的 工作 原理 是 ，TLS 终 止 和 HTTP 域 名 处 理 是 两 个 独立 的 处 理 步 骤 。 当 终止 TLS 时 ， 
Nginx 会 从 指定 人 P 地 址 的 默认 服务 器 ( 配置 中 的 第 一 个 服务 器 ) 中 返回 证 书 。 当 处 理 HTTP 请 求 时 ， 
Nginx 会 检查 Host 请 求 头 并 转发 到 server_name 配 置 与 Host 头 相 匹配 的 服务 器 。 如 果 未 匹配 成 功 ， 
则 使 用 默认 的 服务 器 。 

复 用 证 书 的 最 佳 方式 是 把 证 书 配置 放 在 http 段 内 ， 这 样 之 后 的 服务 器 配置 都 可 以 直接 继承 : 


# 为 所 有 之 后 的 服务 器 配置 同一 个 证 书 和 同一 个 密 铀 
ssl Certificate Se 
ssl certificate key server.key; 
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# site1.example.com 


server { 
listen 443 ssl 
server name site1.e 
} 
# site2.example.com 
server { 
listen 443 ssl 


server name site2.e 
































rver.crt; 


了》 


xample. com; 


了》 


xample.org; 

















Q [PATCH] RSA+DSA+ECC bundles, http://mailman.nginx.org/pipermail/nginx-devel/2013-October/004376.html ( Rob 


Stradling，2013 年 10 月 17 
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复 于 2015 年 7 月 13 日 )。 
@ 严格 来 说 ,证书 部 署 的 
.168.0.1:8443 上 运行 男 一 个 站 点 。 在 实际 环境 中 网 站 只 能 运行 了 
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恨 制 针对 的 是 人 P 地 址 和 端口 的 组 合 ， 例 如 
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ertificates, https://phabricator.wikimedia.org/T86654 ( Wikimedia Phabricator #T86654， 修 


可 以 在 192.168.0.1:443 上 运行 一 个 站 点 而 在 


， 所 以 这 一 限制 也 就 变 成 了 不 同 的 卫 





406 第 16 章 配置 Nginx 





这 种 方式 简化 了 维护 并 且 在 内 存 中 只 会 保存 一 份 证 书 和 私 钥 的 信息 。 


16.7 ”虚拟 安全 托管 


与 16.6 节 中 讨论 的 不 同 ， 真正 的 虚拟 安全 托管 指 的 是 : 多 个 不 同 的 网 站 ， 使 用 不 同 的 证 书 ， 
共享 一 个 耻 地 址 。 由 于 这 一 特性 没有 包含 在 SSL 和 TLS 协 议 的 早期 版 本 中 ， 迄 今 为 止 仍 然 有 许多 
老 客户 端 是 不 支持 的 。 基 于 这 一 点 来 考虑 ,对 于 受众 广泛 的 互联 网 站 点 , 采用 虚拟 安全 托管 模式 
并 不 合适 ; 反 过 来 说 ， 对 于 用 户 群 都 是 现代 浏览 器 的 站 点 则 完全 可 行 。 

Nginx 支 持 虚 拟 安全 托管 模式 并 在 需要 时 会 自动 启用 。 唯一 的 问题 是 ,如 有 果 你 按 虚拟 安全 托 
管 模式 部 署 ， 当 遇 到 不 支持 这 一 特性 的 用 户 时 ,你 该 怎么 办 ?通常 情况 下 ，Nginx 会 对 这 种 用 户 
返回 访问 卫 地 址 上 默认 站 点 的 服务 器 证 书 ， 而 这 个 默认 证 书 并 不 一 定 能 与 用 户 的 访问 域名 匹配 ， 
这 时 用 户 就 会 收 到 一 个 证 书 警 告 。 如 果 用 户 忽略 警告 继续 访问 ， 他 们 仍然 可 以 访问 到 正确 的 站 
i 0 






















































































16.8 ”默认 站 点 返回 错误 消息 


对 于 不 正确 的 请 求 , 返回 网 站 内 容 从 来 都 不 是 一 个 好 主意 ! 例如 ,你 不 会 希望 搜索 引擎 把 网 
站 收录 到 一 个 错误 的 域名 下 。 更 重要 的 是 ， 缺 少 域名 校 验 会 带 来 网 站 迁移 时 的 安全 风险 。 因 此 ， 
强烈 建议 只 将 默认 站 点 用 于 返回 错误 消息 而 不 提供 实际 服务 。 

这 里 有 一 个 配置 的 例子 供 参 考 : 

# 默认 站 点 用 来 对 不 正确 域名 的 请 求 返回 错误 消息 


server { 
listen 443 ssl default server; 














# 不 需要 配置 server name， 因 为 不 用 匹配 
# 域名 ， 所 有 未 匹配 的 请 求 都 会 进入 默认 站 点 
# server name ""; 


root /path/to/site/root; 
location / { 


return 404; 
} 


location /404.html { 
internal; 


} 


error page 404 /404.html; 





} 
基于 这 个 配置 ， 当 用 户 请 求 一 个 不 存在 的 域名 时 就 会 收 到 404.html 错 误 页 。 大 多 数 情 况 下 ， 












































@ 当然 ， 这 里 假设 请 求 的 域名 在 HTTP 层 面 上 存在 一 个 虚拟 站 点 配置 ， 如 果 没 有 ， 则 会 访问 到 默认 站 点 。 
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用 户 需要 点 击 通过 一 个 证 书 和 警告 , 但 服务 咒 有 时 也 可 能 对 一 个 不 存在 的 虚拟 主机 域名 返回 一 个 有 
效 的 证 书 ， 通 常 使 用 泛 域名 证 书 时 就 存在 这 个 潜在 问题 。 

在 写作 本 书 时 ，Nginx 不 支持 严格 的 SNI 检 查 ， 即 发 现 用 户 不 支持 SNI 时 直接 在 HTTP 通 信 时 
拒绝 服务 ， 无 论 域名 是 否 正确 。 实 际 上 ， 所 有 非 SNI 用 户 都 可 以 点 击 证 书 警 告 来 继续 访问 只 文 持 
SNI 的 站 点 。 这 种 工作 方式 非常 有 用 ， 可 以 让 用 户 知道 他 们 所 遇 到 的 问题 。” 


16.9 ”前 向 保密 


Nginx 在 支持 前 向 保密 上 没有 任何 问题 。 从 2011 年 8 月 发 布 的 1.1.0 版 本 开始 ，Nginx 就 已 经 完 
全 支持 DHE 和 ECDHE 的 密 钥 交换 。 唯 一 要 注意 的 是 OpenSSL 库 是 否 支 持 EC 算 法 ， 并 不 是 所 有 版 
本 都 支持 它 ， 原 因 有 下 面 两 个 。 
口 OpenSSL 版 本 大 老 
如 果 系 统 底 层 安装 的 OpenSSL 不 支持 新 功能 ( 如 EC 加 密 )， 那 么 即使 Nginx 支 持 也 无 济 于 
事 。 很 多 老 系 统 普 遍 都 安装 了 老 版 本 的 OpenSSL ， 即 使 一 些 新 发 布 的 操作 系统 也 很 可 能 
带 的 是 老 版 本 的 库 ， 比 如 2013 年 11 月 发 布 的 OS X Mavericks 自 带 的 是 OpenSSL 0.9.8.y 
( 0.9.x 分 支 的 最 新 版 )。 要 文 持 EC 加 密 算 法 ， 你 需要 安装 1.0.1 及 以 上 版 本 的 OpenSSL。 
口 OpenSSL 的 版 本 不 支持 EC 
很 长 时 间 以 来 ，Red Hat 的 操作 系统 自 带 的 OpenSSL 不 支持 EC 加 密 ， 因 为 他 们 的 律师 希望 
在 EC 加 密 成 为 可 信任 的 专利 后 再 使 用 。 这 让 使 用 Fedora 和 Red Hat 企 业 版 ( 及 其 衍生 版 本 ) 
的 用 户 难 以 部 署 前 向 保密 。 唯 一 的 解决 办 法 是 重新 编译 OpenSSL 和 所 有 其 他 依赖 包 。 
2013 年 10 月 ， 情 况 有 所 改变 ，Fedora 18 和 之 后 的 版 本 在 发 布 时 已 经 使 用 了 支持 EC 加 密 的 
OpenSSL 包 ?。2013 年 11 月 ，Red Hat Linux 6.5 企 业 版 也 开始 支持 EC 加 密 ?。 














































































































16.10 OCSP stapling 


Nginx 从 1.4.x 分 支 开始 支持 OCSP stapling 功 能 。 到 目前 为 止 , 这 一 特性 是 被 Nginx 作 为 一 个 优 
化 方式 来 实现 的 。 就 具体 实现 来 说 ,Nginx 不 支持 在 启动 时 预 加 载 OCSP 响 应 ; 相反 , 它 是 在 第 一 
次 连接 建立 时 才 发 起 自己 的 OCSP 请 求 , 其 结果 是 , 第 一 个 连接 永远 都 不 会 收 到 OCSP 响 应 。 此 外 ， 
OCSP 响 应 结果 在 Nginx 的 工作 进程 中 是 不 共享 的 , 也 就 是 说 只 有 当 每 一 个 工作 进程 都 经 历 过 上 述 
流程 后 ，Nginx 服 务 才能 全 部 就 绪 。 




































































@ 1.7.0 引 入 了 一 个 新 的 $ssl1_ server name 变量 来 表示 SNI 域 名 ( 如 果 请 求 中 有 这 个 字段 )， 对 于 不 支持 SNI 的 客户 端 ， 

值 是 空 字符 串 。 可 以 用 这 个 变量 在 站 点 配置 中 检测 请 求 是 否 正 确 并 返回 不 同 的 错误 页 面 ， 唯 一 的 问题 是 你 需要 在 

每 个 站 点 配置 中 加 入 这 个 检查 。 

© Bug #319901: missing ec and ecparam commands in openssl package, https://bugzilla.redhat.com/show_bug.cgi?id= 
319901 ( Red Hat Bugzilla， 修 复 于 2013 年 10 月 22 日 )。 

@) Red Hat Enterprise Linux 6.5 Release Notes, https://access.redhat.com/documentation/en-US/Red Hat Enterprise 
Linux/6/html-single/6.5 Release Notes/ (Red Hat，2013 年 11 月 21 日 )。 
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在 实际 环境 中 ,因为 从 CA 获取 OCSP 响 应 需要 消耗 一 定 的 时 间 , 所 以 可 以 认为 服务 器 在 启动 
后 的 一 段 时 间 内 OCSP stapling 功 能 不 是 完全 可 用 的 。 服 务 器 越 繁忙 ， 这 个 时 间 就 越 短 。 
这 种 延 时 在 实践 中 并 不 会 带 来 问题 ， 因 为 OCSP stapling 不 是 一 个 必要 环节 ; 浏览 器 如 果 能 收 
到 OCSP 响 应 时 就 会 直接 处 理 ， 如 果 没 有 收 到 就 会 自己 从 CA 拉 取 。 如 果 你 觉得 对 每 次 连接 都 返回 
OCSP 响 应 是 必要 的 ， 可 以 考虑 在 Nginx 中 手动 设置 ， 本 节 的 后 面 会 有 这 方面 的 讨论 。 
警告 
由 于 内 部 bug"，Nginx 有 可 能 会 发 送 过 期 的 OCSP 响 应 。 主 要 问题 在 于 Nginx 内 部 的 
OCSP 响 应 更 新 进程 是 固定 每 一 小 时 执行 一 次 ， 与 实际 响应 中 CA 设置 的 过 期 时 间 无 
关 。 如 果 服 务 器 收 到 的 OCSP 响 应 的 过 期 时 间 在 一 小 时 之 内 ， 就 会 有 那么 一 段 时 间 
Nginx 会 返回 过 期 的 OCSP 响 应 。 此 bug 在 1.9.x 分 支 中 已 修复 。 









































16.10.1 配置 OCSP stapling 


要 使 用 OCSP stapling， 你 只 需要 告诉 Nginx 启 用 这 一 特性 : 
# 启用 OCSP stapling 


ssl stapling on; 


# 配置 一 个 DNS 服务 器 用 于 解析 域名 的 IP 地 址 

resolver 127.0.0.1; 
注意 
OCSP 请 求 是 通过 HTTP 提 交 的 ， 这 要 求 你 的 Web 服 务 器 能 够 向 互联 网 上 的 OCSP 服 务 
商 发 起 出 站 请 求 。 如果 你 有 一 个 出 站 流量 的 防火 墙 , 要 确保 将 这 种 类 型 的 请 求 配 置 为 
允许 出 站 。 























建议 你 同时 启用 OCSP 响 应 验证 ， 默 认 情 况 下 此 项 是 禁用 的 ， 因 此 需要 多 一 点 配置 工作 ,但 
能 确保 提供 给 用 户 的 响应 是 唯一 合法 有 效 的 : 


# 启用 0CSP 响 应 验证 
ssl_ stapling verify on; 




















# OCSP 响 应 验证 需要 完整 的 证 书 链 ， 因 此 需要 配置 所 有 的 中 间 证 书 以 及 

# 根 证 书 ， 一 般 情 况 下 根 证 书 在 服务 器 证 书 中 是 不 包含 的 

ssl trusted Certificate trusted-for-ocsp.pem; 

很 容易 发 现 Nginx 的 OCSP stapling 配 置 中 缺少 缓存 和 超时 相关 的 指令 。 缓 存 功 能 无 需 任 何 配 
置 ，OCSP 响 应 不 支持 多 进程 之 间 共享 ,但 每 个 工作 进程 都 有 自己 的 内 存 缓存 并 会 按 需 增长 。 对 
于 超时 时 间 , Nginx 全 都 是 硬 编码 : 有 效 响 应 的 缓存 时 间 是 1 小 时 ,错误 响应 的 缓存 时 间 是 5 分 钟 ， 


















































QD ocsp stapling may send expired response, https://trac.nginx.org/nginx/ticket/425 ( Nginx Bug #425， 检索 于 2014 年 7 月 
10 日 )。 
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网 络 超时 时 间 是 60 秒 。” 


16.10.2” 自 定义 OCSP 响应 


通常 情况 下 , 会 根据 不 同 证 书 将 OCSP 请 求 提交 给 相应 的 OCSP 服 务 商 。 然而 在 以 下 两 种 情况 
下 ， 你 可 能 希望 自己 配置 OCSP 服 务 商 。 
口 在 一 个 严重 封闭 的 环境 中 ,可 能 不 允许 直接 从 Web 服 务 器 发 起 外 连 请 求 。 这 种 情况 下 , 需 
要 为 OCSP 请 求 配置 一 个 转发 代理 来 支持 OCSP stapling。 
口 某 些 证 书 可 能 没有 内 置 OCSP 服 务 商 的 信息 , 尽管 签发 证 书 的 CA 实际 有 相应 的 服务 。 这 种 
情况 下 ， 可 以 手动 设置 一 个 OCSP 响 应 URI。 
你 可 以 使 用 ssl_staping_responder 指 令 ， 在 全 局 或 者 站 点 的 配置 中 设置 OCSP 服 务 商 信息 : 


# 为 0CSP 请 求 设置 一 个 转发 代理 
ssl stapling responder http://ocsp.example.com; 























16.10.3 ”手动 配置 OCSP 响应 


如 果 你 想 为 所 有 安全 连接 提供 可 靠 一 致 的 OCSP 响 应 ， 需 要 人 工 处 理 OCSP 响 应 的 获取 和 更 
新 ，Nginx 只 需要 负责 给 用 户 返 回 已 配置 的 响应 。 

在 Nginx 配 置 中 ， 使 用 ssl_stapling_ file 指令 来 指定 一 个 以 DER 格式 存储 的 OCSP 响 应 文件 : 

# 设 定 Nginx 从 文件 中 获取 0CSP 响 应 而 无 需 从 服务 商 


# 拉 取 ， 由 人 工 负责 这 个 文件 内 容 的 更 新 
ssl stapling file ocsp-response www.example.com.der; 


获取 OCSP 响 应 最 简单 的 方法 是 使 用 OpenSSL 命 令 行 工 具 。 在 开始 前 ,你 需要 准备 好 服务 器 
的 证 书 以 及 签发 CA 的 证 书 。 颁发 者 的 证 书 应 该 已 经 包含 在 下 发 给 你 的 中 间 证 书 中 了 ; 但 也 可 能 
你 的 颁发 者 直接 使 用 了 根 证 书签 发 (实际 情况 中 非常 罕见 )， 这 种 情况 你 需要 找 你 的 CA 直接 要 
一 份 。 

你 的 下 一 个 任务 是 找到 OCSP 响 应 程序 的 地 址 ， 可 以 通过 检查 服务 器 证 书 中 的 颁发 机 构 信 息 
访问 ( authority information access，AIA ) 扩展 获取 。 例 如 : 






































$ openssl x509 -in server.crt -noout -ocsp uri 
http://rapidssl-ocsp.geotrust.com 


接 下 来 通过 这 个 URL 和 准备 好 的 两 个 证 书 ， 你 可 以 提交 一 个 OCSP 请 求 : 


$ openssl ocsp -issuer issuyer.crt -cert server.crt -Url http://rapidssl-ocsp.geotrust.com -noverify 
-respout ocsp-response www.example.com.der 

server.crt: good 
This Update: Jan 10 08:15:33 2014 CMT 


Next Update: Jan 17 08:15:33 2014 CMT 16 


QD OCSP stapling patches, http://mailman.nginx.org/pipermail/nginx-devel/2012-September/002682.html ( Maxim Dounin, 
2012 年 9 月 5 日 )。 
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注意 
通常 人 工 获 取 OCSP 响 应 不 会 有 什么 问题 ， 但 在 某 些 边缘 情况 下 有 可 能 会 产生 混乱 ， 
在 12.9 节 中 有 这 方面 的 详细 信息 。 


这 样 你 就 有 了 一 个 包含 合法 OCSP 响 应 的 指定 文件 。 尽 管 这 种 方法 从 理论 上 讲 行 得 通 ， 但 在 
实际 的 生产 环境 部 署 中 还 需要 更 多 考虑 : 你 需要 处 理 错误 的 场景 ， 定 期 执行 以 更 新 OCSP 响 应 数 
据 ， 当 任意 文件 变化 时 重新 加 载 Nginx。 


16.11 配置 临时 DH 密 钥 交换 


当 涉 及 Diffie-Hellman ( DH ) 密 钥 交换 的 强度 时 , Nginx 默 认 提 供 1024 位 的 安全 性 。 这 不 够 强 ， 
在 国家 级 攻击 面前 可 能 也 不 够 安全 。 要 了 解 有 关 DH 安 全 状态 的 更 多 信息 ， 请 参阅 6.5 节 。 

幸运 的 是 ， 可 以 很 容易 地 配置 DH 密 钥 交换 的 强度 。 要 将 DH 密 钥 交换 提高 到 2048 位 安全 性 ， 
可 以 使 用 ssl_dhparam 指 令 指 定 一 个 更 高 加 密 强 度 的 参数 文件 : 


# 使 用 一 个 更 高 位 数 的 参数 文件 ， 而 不 是 用 上 默认 的 1024 位 
ssl_dhparam dh-2048.penm; 


使 用 下 面 的 OpenSSL 命 令 生 成 2048 位 的 参数 文件 : 

$ openssl dhparam -out dh-2048.pem 2048 

提高 DH 参数 强度 可 能 会 影响 到 一 些 客户 端的 互通 性 。 例 如 ，Java 6 和 Java 7 不 支持 1024 位 以 
上 的 DH 参 数 ， 因 此 有 可 能 导致 连接 直接 失败 。 实 际 上 ，Java 7 客户 端 在 确保 ECDHE 套 件 优先 时 
是 可 以 成 功 连接 的 ， 对 于 Java 6 客户 端 就 没有 什么 办 法 了 。 如 果 你 出 于 兼容 性 原因 决定 保留 1024 
位 DH 参 数 , 应 当 在 每 个 服务 器 上 生成 唯一 的 DH 参 数 , 这 可 以 确保 这 些 参数 不 会 轻易 地 被 Logjam 
攻击 所 利用 。 






















































































提示 

从 安全 的 角度 来 看 ， 你 应 当选 择 与 服务 器 私 钥 匹配 的 DH 参 数 强度 。 在 实践 中 ， 大 部 
分 网 站 使 用 的 是 2048 位 私 钥 ， 因 此 理论 上 对 所 有 人 来 说 使 用 2048 位 DH 密 钥 交换 就 已 
经 足够 了 。 不 推荐 使 用 更 强 的 DH 参数 ， 因 为 那 会 显著 降低 TLS 握 手 性 能 。 


16.12 ”配置 临时 ECDH 密 钥 交换 


临时 ECDHE 密 铀 交换 的 默认 强度 是 256 EC 位 ， 使 用 secp 256r1 有 曲线 模型 ( OpenSSL 把 它 称 为 
prime256v1 )， 加 密 强 度 相 当 于 3072 位 RSA 密 钥 ， 足 够 安全 ， 所 以 你 不 需要 做 任何 改变 。 如 果 你 
确实 需要 调整 ， 可 以 使 用 ssl ech_curve 指 邻 : 


# 使 用 更 高 192 位 安全 强度 的 算法 ， 相 当 于 7680 位 RSA 密 铀 
ssl ecdh curve secp384r1; 


到 目前 为 止 , 曲线 模型 的 选择 范围 很 小 ,尽管 OpenSSL 和 其 他 平台 可 能 支持 多 个 曲线 模型 (就 
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OpenSSL 而 言 ， 你 可 以 用 openssl 的 -list_curves 参 数 获得 完整 列表 ), 但 只 有 secp256r1 和 
secp384r1 这 两 种 是 被 浏览 器 广 泛 支 持 的 ， 其 中 secp256r1 在 OpenSSL 中 有 优化 ， 所 以 运行 得 更 快 ， 
secp384r1 则 没有 专门 的 优化 。 


16.13 TLS 会话 管理 


Nginx 提 供 独 立 服务 器 上 TLS 会 话 恢 复 的 良好 支持 ， 包 括 服 务 右 端 会 话 缓存 和 会 话 票证 两 种 
方式 。 不 过 在 服务 絮 集 群 环境 中 ，Nginx 文 持 分 布 式 会 话 票 证 ， 不 支持 分 布 式 会 话 缓存 。 


16.13.1 独立 会 话 缓存 


对 于 独立 服务 器 部 署 (通常 有 多 个 工作 进程 )， 0 共享 内 存 缓存 以 便 TLS 会 话 
息 可 以 在 工作 进程 中 共享 。Nginx 默 认 没有 启用 TLS 会 话 缓存 ， 这 会 导致 性 能 降低 。 
要 启用 会 话 缓存 ， 你 需要 分 配 一 块 内 存 并 且 设 定 会 话 缓存 ee 活 时 间 : 


# 分 配 1MB 的 共享 内 存 缓存 
ssl session cache shared:ssl session cache:1M; 




















# 设置 会 话 缓存 过 期 时 间 为 24 小 时 

ssl session timeout 1440m; 

尽管 很 难 推荐 一 个 适用 于 每 一 个 人 的 缺 省 配置 , 但 例子 中 的 参考 配置 应 
站 的 需求 。 使 用 1 MB 的 内 存 可 以 缓存 大 约 4000 个 会 话 。 
默认 的 会 话 缓存 过 期 时 间 只 有 5 分 钟 ， 这 个 时 间 太 短 ， 我 推荐 使 用 24 小 时 。 如 果 没 有 特殊 理 
由 ， 一 般 情 况 下 不 需要 限制 会 话 缓存 过 期 时 间 ， 因 为 你 总 是 希望 缓存 尽量 多 的 TLS 会 话 。 在 内 存 

空间 不 足 时 ,， 最 老 的 会 话 会 被 自动 清理 用 于 新 会 话 的 缓存 。 不 推荐 使 用 24 小 时 以 上 的 时 间 ， 因 为 

这 可 能 会 导致 安全 隐患 。 

Nginx 为 缓存 配置 提供 了 极 大 的 灵活 性 。 例 如 ， 你 可 以 让 同一 个 站 点 使 用 多 层 缓存 ， 也 可 以 让 
多 个 站 点 共用 一 个 缓存 。 从 安全 角度 考虑 , 每 个 站 点 应 当 使 用 独立 的 会 话 缓存 , 会 话 缓存 共享 应 该 
仅 限 于 同一 个 业务 同一 个 证 书 的 多 个 子 站 点 中 。 关 于 这 方面 潜在 风险 的 完整 讨论 可 以 参考 6.8 节 。 








该 能 够 满足 大 部 分 网 





















































16.13.2 ”独立 会 话 票证 


默认 情况 下 会 话 票证 是 由 OpenSSL 处 理 的 ，Nginx 配 置 不 是 必要 的 。 对 于 独立 服务 器 而 言 ， 
0 还 行 "， 但 仍然 有 以 下 这 些 方面 是 你 应 该 关注 的 。 
话 票 证 使 用 的 是 128 位 AES 加 密 ，Web 服 务 器 在 启动 初始 化 时 会 自动 生成 一 个 一 次 性 密 
“0 根据 服务 器 配置 的 不 同 ， 可 能 会 有 多 个 票证 密 钥 同时 使 用 。 
口 票证 密 钥 长 度 是 固定 的 128 位 ， 对 大 部 分 场景 都 足够 用 了 。 
口 每 次 服务 器 重启 时 都 会 生成 新 的 票证 密 钥 ， 这 会 导致 重启 后 所 有 进入 的 连接 都 需要 重新 
进行 TLS 会 话 协商 ， 因 此 会 带 来 性 能 损失 ， 但 一 般 并 不 会 有 很 大 影响 。 
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口 如 果 服 务 器 长 时 间 和 运行 并 且 没 有 重启 ,运行 期 间 所 有 的 会 话 票 证 都 会 一 直 使 用 相同 的 AES 
密 钥 来 加 密 。 不 推荐 用 这 种 方式 运行 服务 器 ", 应 当 保证 服务 器 定期 重启 ， 比 如 每 天 一 次 。 
对 于 会 话 票证 的 安全 性 ， 最 佳 方案 是 为 每 个 站 点 分 配 一 个 独立 的 票证 密 钥 。 


16.13.3 ”分 布 式 会 话 缓存 


到 目前 为 止 ， Nginx 尚 不 支持 分 布 式 会 话 缓存 。2011 年 曾经 发 布 过 一 个 Nginx 0.8.x 版 本 的 补 
丁 ， 增 加 了 这 个 功能 ”， 但 是 在 之 后 的 版 本 中 被 废弃 。 据 一 位 Nginx 开 发 人 员 介绍 ”， 这 个 补丁 以 
阻塞 模式 工作 ,与 Nginx 的 事件 驱动 模型 架构 有 冲突 ;也 就 是 说 当 通 过 网 络 查询 缓存 时 ,所 有 Nginx 
工作 进程 都 会 被 挂 起 (影响 所 有 进入 的 请 求 )， 导 致 严重 的 性 能 损失 。 

由 于 Nginx 不 支持 分 布 式 会 话 缓存 ， 这 会 影响 到 你 的 集群 设计 。 集 群 部 署 上 不 可 以 自由 地 将 
新 连接 分 发 到 任意 节点 ; 反之 ,你 需要 设计 一 种 连接 保持 机 制 ， 让 一 个 用 户 的 访问 保持 分 发 到 相 
同 节点 上 ”， 这 样 这 个 节点 上 的 独立 内 存 会 话 缓存 就 能 发 挥 作 用 了 。 


16.13.4 “分 布 式 会 话 票 证 


从 1.5.7 版 本 开始 ，Nginx 就 支持 会 话 票证 密 钥 的 手动 配置 了 。 使 用 这 个 特性 ， 你 可 以 自己 设 
计 票 证 密 钥 的 独立 轮转 机 制 或 者 在 整个 Web 服 务 器 集群 中 共享 同一 个 票证 密 钥 。 
相关 的 指令 是 ss1 session_ ticket key， 可 以 用 它 来 设置 票证 密 钥 : 


# 显 式 配置 会 话 票 证 密 铀 
ssl session ticket key ticket.key; 


一 个 会 话 票 证 密 钥 由 48 字 节 的 随机 加 密 数据 组 成 , 分 为 3 个 16 字 节 ( 128 位 ) 的 片段 , 分 别 用 
于 密 钥 名 称 、HMAC 密 码 和 AES 密 钥 。 这 与 OpenSSL 内 部 的 使 用 格式 并 不 相同 ， 因 此 你 可 能 无 法 
与 其 他 Web 服 务 顺 共享 这 个 密 钥 。” 

使 用 以 下 OpenSSL 命 令 来 生成 一 个 新 的 密 钥 文件 : 

$ openssl rand -out ticket.key 48 


在 实践 中 , 你 应 该 至 少 配置 两 个 密 钥 : 用 于 生成 新 票证 的 主 密 钥 ， 以 及 只 用 于 解密 的 前 一 个 

























































































Q 使 用 会 话 票证 时 ， 该 AES 密 钥 用 于 对 所 有 会 话 数据 ( 包括 主 密 钥 ， 它 可 以 用 于 解密 所 有 通信 ) 进行 加 密 ， 之 后 该 
信息 会 通过 网 络 传输 到 客户 端 。 这 也 使 这 个 AES 密 钥 成 为 了 一 个 新 的 攻击 点 ， 当 AES 密 钥 被 破解 时 ， 向 前 保密 也 
会 失效 。 

@) SSL Session Caching (in nginx), http:/www.hezmatt.org/~mpalmer/blog/2011/06/28/ssl-session-caching-in-nginx.html 
(Matt Palmer，2011 年 6 月 28 日 )。 

® Re: Distributed SSL session cache, http://mailman.nginx.org/pipermail/nginx-devel/2013-September/004216.html( Maxim 
Dounin，2013 年 9 月 16 日 )。 

则 通常 这 是 负载 均衡 设备 的 功能 ， 通 过 记录 原始 请 求 的 会 话 ID 信息 ， 随 后 将 相同 会 话 卫 的 请 求 转发 到 同一 个 后 端 服 
务 器 上 。 

© NGINX SSL Session Ticket Key, http://mailman.nginx.org/pipermail/nginx/2014-February/042474.html ( ZNV, 2014 

年 2 月 25 日 )。 
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# 设置 主 密 铀 ， 用 于 新 会 话 的 加 解密 


ssl session _ ticket key current-ticket.key; 


# 保留 前 一 个 密 钥 用 于 老 会 话 的 解密 
ssl session ticket key previous-ticket.key; 


使 用 两 个 密 钥 轮 转 的 方式 ， 在 密 钥 更 新 时 服务 器 就 不 会 丢弃 更 新 前 建立 的 会 话 。 

在 集群 中 实施 会 话 票证 密 钥 的 轮转 是 不 可 靠 的 , 因为 这 要 求 新 的 密 钥 在 同一 个 时 刻 被 部 署 到 
所 有 节点 上 。 如 果 有 一 个 节点 在 其 他 节点 前 先 启 用 了 密 钥 ， 其 他 节点 就 有 可 能 无 法 解密 数据 ， 从 
而 导致 SSL 握 手 重建 。 不 过 这 种 情况 应 该 不 是 问题 ， 除 非 你 会 频繁 地 更 新 密 钥 。 此 外 ， 许 多 集群 
在 设计 上 会 把 同一 个 用 户 保 持 分 发 到 相同 节点 ， 上 面 说 的 问题 也 就 不 存在 了 。 

如 果 你 坚持 要 完美 地 实现 集群 的 会 话 票证 密 钥 轮转 ,并且 不 介意 操作 两 次 集群 配置 , 可 以 按 
以 下 步骤 操作 。 

(1) 生成 一 个 新 的 会 话 票证 密 钥 。 

(2) 将 新 的 密 钥 替换 掉 只 用 于 解密 的 老 密 钥 ， 加 载 集 群 配置 ， 这 样 所 有 节点 都 可 以 解密 新 密 
钥 的 数据 。 

(3) 重新 配置 集群 ， 将 两 个 密 钥 交换 位 置 ， 新 密 钥 作为 加 解密 的 主 密 钥 ,之 前 的 主 密 钥 作 为 

只 解密 的 老 密 钥 。 因 为 所 有 节点 在 上 一 次 配置 中 已 经 加 载 了 新 密 钥 ,所 以 会 话 可 以 保持 正常 工作 ， 
不 会 有 任何 时 间 差 带 来 的 问题 。 

































































16.13.5 ”禁用 会 话 票 证 


从 1.5.9 版 本 开始 ， 人 话 票 证 。 当 你 使 用 的 是 服务 器 集群 且 不 希望 部 署 共 享 票 
证 密 钥 时 ， 这 个 选项 可 以 提供 帮助 


# 禁用 会 话 系 证 
ssl session tickets off; 


如 果 你 用 的 是 更 早 版 本 的 Nginx， 可 以 从 开发 列表 的 归档 中 获取 相关 补丁 。” 


16.14 ”客户 端 身份 验证 
想 在 配置 中 启用 客户 端 身份 验证 ，Nginx 需 要 提供 一 个 完整 证 书 链 的 所 有 CA 证 书 ， 以 及 一 份 
相关 的 证 书 吊 销 列表 。 下 面 是 一 个 完整 的 示例 : 


# 要 求 客户 端 身 份 验证 
ssl verify client on; 





















































# 指定 客户 阁 证 书 到 根 证 书 的 最 大 证 书 路 径 长 度 
ssl verify depth 2; 








QD [PATCH] SSL: ssl_session tickets directive, http://mailman.nginx.org/pipermail/nginx-devel/2014-January/004760.html 
( Dirkjan Bussink，2014 年 1 月 10 
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# 指定 允许 签发 客户 癌 证 书 的 CA 证 书证 书 名 称 
# 将 被 发 送 给 用 户 用 于 客户 端 证 书 选 取 
ssl client certificate sub-ca.crt; 


# 完整 证 书 链 中 需要 包含 的 其 他 CA 证 书 
ssl trusted certificate root-ca.crt; 


# 证 书 吊销 列表 ， 文 件 有 更 新 时 Nginx 需 要 重新 加 载 


ssl crl revoked-certificates.crl 
有 了 这 些 配 置 ，Nginx 将 只 接受 包含 有 效 客户 端 证 书 的 请 求 。 如 果 请 求 未 包含 证 书 或 者 证 书 
校 验 失败 ，Nginx 会 返回 一 个 400 错 误 响 应 。 
除了 启用 强制 客户 端 身份 验证 之 外 ,ssl verify client 还 有 另外 两 个 设置 在 某 些 情况 下 有 用 : 
口 optional 
启用 客户 端 证 书 但 身份 验证 失败 时 不 终止 TLS 握 手 ， 验 证 结果 会 被 保存 在 $ss1_client_ 
verify 变 量 中 : NONE 表 示 没 有 证 书 ，FAILED 表 示 证 书 未 通过 验证 ，SUCCESS 表 示 证 书 有 效 。 
如 果 想 让 客户 端 身份 验证 失败 时 返回 自 定 义 响 应 ， 这 个 选项 是 非常 有 用 的 。 
口 optional no ca 
启用 客户 端 证 书 但 在 TLS 握 手 时 不 进行 验证 , 证 书 验证 工作 交 由 外 部 服务 来 负责 (证书 保 
存在 $ss1 client _cert 变 量 中 )。 


注意 
/ 工 忆 


使 用 可 选 的 客户 端 身份 验证 方式 是 有 问题 的 , 因为 有 些 浏览 器 在 这 种 情况 下 不 会 提示 
不 









































用 户 选择 客户 端 证 书 , 还 有 一 些 浏览 器 在 无 法 提供 客户 端 证 书 时 将 不 能 访问 网 站 。 当 
你 确实 考虑 要 部 署 可 选 的 客户 端 身份 验证 方式 时 , 请 对 环境 中 可 能 遇 到 的 所 有 浏览 器 
都 做 好 测试 。 


16.15 ”缓解 协议 问题 


Nginx 的 用 户 无 需 担 心 遇 到 SSL 和 TLS 协 议 上 的 问题 ， 所 有 问题 在 发 现 后 都 得 到 了 快速 解决 ， 
有 一 次 甚至 在 问题 被 公开 前 就 已 修复 。 


16.15.1 不 安全 的 重新 协商 


不 安全 的 重新 协商 是 2009 年 11 月 发 现 的 一 个 协议 上 的 缺陷 , 并 在 2010 年 基本 得 到 了 解决 。 在 
问题 发 现 的 一 周 内 ，Nginx 就 发 布 了 0.8.23 版 本 , 修复 了 这 个 问题 。 自 此 以 后 客户 端 发 起 的 重新 协 
商 就 不 再 有 效 了 。 

此 外 ，Nginx 也 不 支持 服务 器 发 起 的 重新 协商 。 服 务 器 重新 协商 通常 用 于 当 同 一 个 站 点 运行 
于 多 个 安全 环境 时 , 例如 , 你 可 能 允许 任何 人 访问 网 站 的 首页 但 是 在 访问 下 一 层 的 子 页 面 时 需要 
客户 端 身份 验证 。Nginx 支 持 客户 端 身份 验证 ， 但 是 只 能 在 服务 器 级 别 配 置 ( 不 支持 子 目 录 的 配 
置 )， 也 就 意味 着 服务 器 重新 协商 是 无 意义 的 。 理 论 上 ，Nginx 在 编译 时 选择 好 OpenSSL 版 本 是 可 
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以 支持 安全 重新 协商 功能 的 ， 只 是 现在 的 实现 方式 是 直接 拒绝 重新 协商 请 求 。 


16.15.2 BEAST 

严格 来 说 ，TLS 1.0 和 更 早 版 本 中 的 IV 可 预测 漏洞 会 同时 影响 客户 端 和 服务 器 端 ， 但 实际 上 
只 有 浏览 需 会 受到 攻击 〈 所 谓 的 BEAST 攻 击 )， 因 为 这 种 攻击 需要 攻击 者 可 以 控制 受害 者 发 送 的 
数据 ( 并 且 之 后 就 被 加 密 了 )。 基 于 上 述 原因 ， 服 务 器 代码 在 这 个 漏洞 修复 上 起 不 了 什么 作用 。 























16.15.3 CRIME 


2012 年 的 CRIME 攻 击 利用 的 是 TLS 协 议 启用 压缩 时 的 信息 泄露 "， 至 今 这 个 问题 还 没有 解决 
( 在 TLS 压 缩 启用 时 )， 变 通 的 方法 是 完全 禁用 压缩 。 考 虑 到 性 能 问题 ，Nginx 开 发 者 从 2011 年 就 
已 经 开始 禁用 压缩 , 但 最 初 的 修改 ( 1.0.9 和 1.1.6 版 本 ) 只 支持 OpenSSL 1.0.0 及 以 上 版 本 。 从 2012 
年 的 1.2.2 和 1.3.2 版 本 开始 ，Nginx 对 所 有 OpenSSL 版 本 都 已 经 支持 禁用 压缩 。” 


16.16 部署 HTTP 严格 传输 安全 


由 于 HTTP 严 格 传输 安全 (HTTP strict transport security，HSTS ) 是 通过 响应 头 来 激活 的 ， 因 此 
使 用 起 来 非常 容易 ， 但 也 有 不 少 使 用 上 的 陷阱 。 因 此 我 建议 你 在 作出 决定 前 ， 先 仔细 阅读 10.1 节 。 

一 旦 站 点 启用 了 HSTS, 用 户 的 后 续 访问 就 会 直接 进入 443 端 口 ,然而 你 还 需要 确保 那些 访问 
到 80 端 口 的 用 户 能 被 重 定 问 到 正确 的 地 址 。 为 了 支持 这 个 重 定向 ， 而 且 由 于 在 明文 响应 中 HSTS 
响应 头 是 不 被 允许 的 >?， 你 需要 配置 两 个 不 同 的 服务 器 ， 例 如 : 


server { 
listen 192.168.0.1:80; 
server name www.example.com; 




































































return 301 https://www.example.com$request uri; 


} 
server { 
listen 192.168.0.1:443 ssl; 
server name www.example.com; 
add header Strict-Transport-Security 
"max-age=31536000; includeSubDomains; preload"; 
} 






































Q@ TLS 不 是 唯一 受 影响 的 协议 ,信息 是 否 泄露 取决 于 压缩 的 具体 实现 ， 在 其 他 网 络 层 也 可 能 存在 。 例 如 ， 在 HTTP 

响应 中 使 用 的 gzip 算 法 也 有 漏洞 。 
©® crime tls attack , http://mailman.nginx.org/pipermail/nginx/2012-September/035600.html ( Igor Sysoev，2012 年 9 月 26 日 
@) 如 果 明 文 响应 中 允许 设置 HSTS 头 ， 中 间 人 攻击 者 就 可 以 通过 在 普通 站 点 中 注 和 人 HSTS 信 息 来 执行 DoS 攻 击 。 
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关于 Nginx 的 add_header 指 令 的 作用 ， 有 两 个 方面 需要 关注 。 第 一 ，HTTP 头 只 会 被 添加 到 非 
错误 响应 中 ( 即 2xx 和 3xx ), 对 于 HSTS 这 不 是 什么 问题 , 因为 大 部 分 的 正常 响应 都 在 这 个 范围 内 。 
第 二 ， 这 个 指令 的 继承 方式 有 时 很 让 人 费解 : 如 果 一 个 子 配 置 块 中 设置 了 add_header 指 令 ， 那 么 
在 上 层 配置 块 中 的 add_neader 指 令 是 不 会 被 继承 的 。 换 句 话说， 如果 你 需要 在 子 配置 块 中 添加 
add_header 指 令 ， 还 需要 从 上 层 配置 块 中 复制 所 有 的 add_header 指 令 。 



































16.17 TLS 缓冲 区 调 优 


从 1.5.9 版 本 开始 ，Nginx 人 允许 使 用 ss1_buffer size 指 令 自 定义 TLS 缓 冲 区 的 大 小 。 默 认 值 是 
16 KB ， 但 是 这 个 值 不 一 定 是 最 优化 的 ， 尤 其 是 你 希望 首 字 节 数据 被 尽早 发 送 时 ， 有 报告 显示 使 
用 1400 字 节 的 配置 可 以 显著 减少 延迟 。” 

# 减少 TLS 缓 冲 区 大 小 ， 可 以 显著 减少 首 字 节 时 间 

ssl buffer Size 1400; 

需要 注意 的 是 ,减少 TLS 缓 冲 区 大 小 有 可 能 会 降低 连接 的 吞吐 量 ， 特 别 是 当 你 需要 发 送 大量 
的 数据 时 。” 


16.18 日 志 记 录 


默认 的 Web 服 务 器 日 志 只 记录 错误 信息 以 及 访问 的 地 址 ， 并 没有 多 少 TLS 使 用 上 的 记录 ， 然 

而 通常 有 以 下 两 方面 的 原因 需要 你 关注 服务 器 上 的 TLS 使 用 情况 。 

口 性 能 
TLS 会 话 恢复 的 配置 错误 会 导致 严重 的 性 能 损失 , 因此 你 需要 特别 关注 会 话 恢 复 率 , 在 日 
志 中 做 好 记录 可 以 帮助 你 了 解 会 话 恢复 的 使 用 情况 以 及 优化 会 话 缓存 配置 。 

从 1.5.0 版 本 开始 ，Nginx 支 持 $ss]_session_Treused 变 量 ， 可 以 帮助 你 直接 跟踪 会 话 恢 复 。 
如 果 你 使 用 的 是 之 前 的 版 本 ， 就 只 能 通过 日 志 后 期 处 理 的 方式 ， 统 计 日 志 中 相同 会 话 ID 
出 现 的 次 数 。 根 据 会 话 恢复 率 ， 你 可 以 真实 地 了 解 TLS 会 话 缓存 的 工作 性 能 。 

口 协议 和 密码 套件 的 使 用 
掌握 你 的 用 户 群 所 使 用 的 协议 版 本 和 密码 套件 是 非常 重要 的 ， 原因 有 二 : (1) 你 需要 确保 
配置 中 的 设想 都 是 正确 的 ; (2) 你 需要 了 解 一 些 旧 特性 是 否 仍然 需要 保留 , 例如 SSL 2 的 支 
持 就 被 保留 了 很 长 时 间 ， 因 为 人 们 担心 关闭 后 有 影响 。 时 至 今日 ， 我 们 在 SSL 3 协议 以 及 
RC4 和 3DES 加 密 算 法 的 选择 上 又 面临 着 类 似 的 问题 。 

最 好 是 使 用 一 个 独立 的 日 志文 件 来 记录 TLS 连 接 信息 。 在 Nginx 中 这 需要 使 用 两 条 指令 ， 分 
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QD Optimizing NGINX TLS Time To First Byte (TTTFB), https://www.igvita.com/2013/12/16/0ptimizing-nginx-tls-time-to- 
first-byte/ ( Ilya Grigorik，2013 年 12 月 16 日 )。 

© Optimizing NGINX TLS Time To First Byte (TTTFB), http://mailman.nginx.org/pipermail/nginx/2013-December/ 
041502.html ( Nginx 开 发 人 员 邮 件 列表 讨论 ，2013 年 12 月 16 日 )。 
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别 用 于 定义 一 个 新 的 日 志 格 式 以 及 生成 新 的 日 志文 件 : 


# 设置 TLS 日 志 格 式 ， 变 量 $ssl] session reused 在 1.5.10 及 以 后 版 本 中 支持 
log format ssl "$time local $server name $remote addr $connection $connection requests $ssl protocol © 
$ssl cipher $ssl session id $ssl] session reused"; 


# 记 录 TLS 连 接 信息 
access log /path/to/ssl.log ssl; 


警告 


由 于 Nginx 中 的 一 个 bug,1.4.5 和 1.5.9 之 前 版 本 中 的 $ssl session id 变量 没有 包含 正确 
的 TLS 会 话 ID。 如 果 需 要 记录 会 话 ID， 你 需要 升级 到 更 新 的 版 本 。 


这 种 类 型 的 日 志方 式 将 会 为 每 一 个 成 功 处 理 的 HTTP 会 话 生成 一 条 记录 ， 某 种 意义 上 说 这 是 
一 种 浪费 ， 因 为 所 有 的 TLS 参 数 其 实在 首次 建立 连接 时 就 已 经 确定 了 (Nginx 不 支持 会 话 重新 协 
商 ， 参 数 也 就 不 会 被 改变 )。 另 一 方面 ， 连 接 复 用 是 最 高 效 的 工作 方式 ， 因 此 跟踪 连接 复 用 情况 
是 很 重要 的 ， 所 以 我 在 日 志 格 式 的 参数 中 加 入 了 $connection 和 $connection_requests 两 个 变量 。 


注意 
/ 工 忆 


目前 还 没有 办 法 记录 那 种 没有 实际 HTTP 请 求 但 TLS 握 手 成 功 的 信息 ， 同 样 也 没有 办 
法 记录 TLS 握 手 失败 的 信息 。 
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恭喜 你 ， 一 路 完成 了 本 书 的 学 习 ! 和 希望 你 在 阅读 时 能 像 我 写作 时 那样 ， 收 获 一 样 多 的 乐趣 。 
我 们 在 书 中 讨论 了 这 人 么 多 的 TLS 安 全 问题 ， 那 么 我 们 到 底面 临 着 怎样 的 现状 呢 ? TLS 安 全 吗 ? 还 
是 说 它 有 着 无 法 修复 的 缺陷 而 注定 要 消亡 ? 

与 其 他 许多 问题 类 似 ， 答 案 完 全 取决 于 你 对 TLS 的 期 望 。 如 果 与 一 些 想象 中 的 理想 产品 相 比 
较 ， 很 容易 指出 TLS 中 的 各 种 问题 ; TLS 也 确实 存在 很 多 问题 ， 整 个 社区 长 期 以 来 一 直 都 在 努力 
地 修复 完善 。 然 而, 安全 协议 的 成 功 不 能 单纯 地 从 技术 性 和 安全 性 方面 来 衡量 , 更 加 重要 的 是 在 
现实 生活 中 的 成 功 实践 和 实际 效果 。 因 此 ， 尺 管 TLS 并 不 完美 , 但 每 天 仍 有 数 十 亿 人 使 用 它 ， 这 
已 经 是 一 个 巨大 的 成 功 。 如 果 一 定 要 在 TLS 生 态 系统 中 选 出 一 个 最 大 的 问题 ， 那 就 是 我 们 还 没有 
充分 地 使 用 加 密 ， 使 用 的 时 候 也 没有 认真 思考 我 们 是 否 真 的 安全 ( 想 一 想 证 书 警告 )。 TLS 的 缺 
陷 反而 不 是 什么 大 问题 。 

我 们 一 直 在 讨论 TLS 的 安全 性 ， 这 其 实 正 是 因为 TLS 非 常 成 功 ， 不 然 它 早 就 被 其 他 更 好 的 产 
品 取代 了 。 不 过 ， 即 使 我 们 有 机 会 使 用 其 他 产品 来 代替 TLS， 在 经 过 多 年 的 使 用 后 ， 我 们 一 样 会 
碰 到 与 TLS 现 状 相同 的 情况 。 我 清楚 地 意识 到 在 全 世界 范围 内 不 可 能 达到 所 谓 完美 的 安全 性 。 这 
个 多 样 性 的 世界 正在 加 强 安全 性 方面 缓慢 前 进 ， 同 时 尽量 避免 对 现状 造成 重大 的 破坏 。 你 知道 
吗 ? 这 其 实 没什么 大 不 了 。 这 就 是 加 入 全 球 计算 机 网 络 的 代价 。 

好 消息 是 TLS 正 处 在 一 个 不 断 改善 的 良好 阶段 。 多 年 前 的 某 个 时 候 ， 我 们 开始 将 更 多 注意 力 
放 在 安全 性 上 ， 尤 其 是 加 密 环节 。 这 一 过 程 在 2013 年 开始 加 速 ， 因 为 随 着 用 户 使 用 越 来 越 广泛 ， 
我 们 也 不 断 地 遭遇 到 大 量 安全 问题 。TLS 工 作 小 组 正在 忙于 开发 下 一 个 协议 版 本 。 这 一 版 本 不 会 
有 (也 不 需要 有 ) 根本 上 的 不 同 , 但 却 会 把 我 们 的 安全 水 平 提高 到 一 个 更 高 的 阶段 。 我 会 把 这 些 
新 的 内 容 写 在 这 本 书 的 未 来 版 本 中 ! 
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